security-265130_640

PHPMailerのリモートコード実行脆弱性

PHPMailerに脆弱性が見つかっています。

すでに多くの情報があります。
http://internet.watch.impress.co.jp/docs/news/1037370.html

PHPMailler自体はすでに修正版をリリース済です。

WordPress本体もこのモジュール由来のコードを使っているとのことですが、WordPress標準のwp_mail()関数を使っていれば影響はないようです。
https://core.trac.wordpress.org/ticket/37210#trac-change-14-1482913077988770
「This applies to WordPress 4.7, 4.6.x, and all previous secure versions.」とありますので、過去のバージョンについても問題はなさそうです。

PHPMailerの修正版はWordPress4.7.1で適用される予定ですが、リリース時期は不明2017/1/11にリリースされます。

しかし、プラグインについてはいくつか影響がありそうです。
もし、プラグインに脆弱性の影響があり、プラグインでの対応がなされない場合、以下のURLにあるパッチを適用してWordPressのコアをアップデートする選択肢もあります。
https://core.trac.wordpress.org/ticket/37210#trac-change-14-1482913077988770

プラグインへの影響と対応状況

Contact Form 7 ver.4.6

特殊なカスタマイズをしていない限り、問題はないようです。
http://qiita.com/nishimura/items/869362ab33b5e82080b7

MW WP Form ver.2.13.0

というコードがあり、問題がある可能性があります。
wp_mail()を使っており、影響はなさそうです
現在(2016/12/29)のところ、公式なアナウンスはありません。

Gmail SMTP ver.1.0.9

影響があります。
不十分にしか対応されていません。
脆弱性に対応したバージョン(1.1.0)がリリースされています。
https://wordpress.org/support/topic/security-urgent-critical-php-mailer-vulnerability/

Mail Bank – PHP Mail & SMTP ver.2.0.14

サポートに質問が挙がっていますが、今のところ影響は不明です
wp_mail()を使っており、影響はなさそうです

WP Mail SMTP

サポートに質問が挙がっていますが、今のところ影響は不明です
wp_mail()を使っており、影響はなさそうです

Visual Form Builder

wp_mail()を使っており、影響はなさそうです。

Easy WP SMTP

PHPMailerのSend()を使って送信しています。
Fromフィールドを、設定オプションの入力を使ってセットしているため、脆弱性の影響を受けます。
しかし、管理者による管理画面での送信者設定ですので、正しく設定している限りはほとんど影響はなさそうです。
気になる方は、WordPressコアへのパッチ適用を検討してください

Fast Secure Contact Form

wp_mail()を使っており、影響はなさそうです

楽天市場

Amazon.co.jpアソシエイト

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)