セキュリティアップデートがリリースされました

本日、AffiliateWPのコードベースに重要なセキュリティ上の欠陥が発見されました。これは悪意のある人物によって悪用される可能性がありました。

この欠陥は、アフィリエイト、紹介、訪問、クリエイティブデータを対象としたいくつかのデータベースクエリが、SQLインジェクションの対象となる可能性があったことに起因します。

バージョン1.5.7で、この欠陥は修正されました。

1.5.7へのアップデートの重要性は？

私たちはセキュリティを非常に重視しており、常にユーザーに最新バージョンへのアップデートをできるだけ早く行うことを推奨しています。この特定のケースでは、欠陥が除去されていることを確認するために、すぐにアップデートすることをお勧めします。

欠陥はどのように悪用される可能性がありましたか？

セキュリティ上の理由から、欠陥が悪用される可能性のある正確な詳細を提供することはできませんが、問題が何であったかのアイデアを提供するために基本的な概要を提供することはできます。

管理専用のデータベースクエリでいくつかのパラメータが適切にサニタイズされていなかったため、クエリを改ざんしてSQLインジェクション攻撃を実行することが潜在的に可能でした。

注意: このSQLインジェクションは、現在ログインしているユーザーが必要なアフィリエイトデータを表示および編集する権限を持っている場合にのみ発生する可能性がありました。ログアウトしたユーザーや低レベルのユーザーは影響を受けません。これは、攻撃者が欠陥を悪用するために、サイト管理者に不正なリンクをクリックするようにだます必要があることを意味します。

問題は発見から数時間以内に修正され、アップデートは直ちに利用可能になりました。サイトが100％安全であることを確認するために、バージョン1.5.7にアップデートしてください。

このアップデートまたはサイトのセキュリティに関するご質問やご不明な点がございましたら、お気軽にお問い合わせください。