WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も

あるAnonymous Coward 曰く、　「WP-Slimstat」というWordPressプラグインに脆弱性があることが発覚した。SQLインジェクション攻撃によって暗号化されたパスワードや暗号化キーといったデータが外部から参照される危険性があるという（Ars Technica）。

　問題が発見されたのはWP-Slimstat 3.9.5以下。3.9.6ではこの問題は修正されているという（Securi Blog）。

　このプラグインはサイトのアクティビティやサーバーのレイテンシといった情報をレポートする統計ツール。サーバーとエンドユーザー間でのデータのやり取りを行う際、「プラグインをインストールしたタイムスタンプのMD5ハッシュ」という容易に推測できる鍵を使っていたのが問題だという。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
カートリッジ式コーヒーメーカー「Keurig 2.0」に脆弱性、正規カートリッジへの成り済ましが可能 2014年12月13日
「ロリポップ！」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる 2013年08月30日
マルウェア「Flashback」の感染は脆弱性が放置されたブログサイトから始まった 2012年04月25日