WordPressで知らない管理者アカウントが作られることはありますか？

A. 認証なしで管理者アカウントを作成できる脆弱性が確認されています。

WP Maps Proのバージョン6.1.0以前に、認証なしで管理者アカウントを作成できる脆弱性が確認されています。

このプラグインは、地図表示や店舗検索機能を提供するWordPressプラグインです。脆弱な環境では、攻撃者が特別に作成したリクエストを送信できます。その結果、新しいWordPressユーザーの作成や管理者権限の付与が行われます。

さらに、パスワードを使わずにログインできるURLを生成することも可能とされています。攻撃者はそのURLを利用して、新しく作成した管理者アカウントへ認証できます。

この脆弱性は実際の脅威活動で利用されていることが確認されています。

対策済みバージョンへの更新が推奨されています。

👉 詳細のブログはこちら