長い間休止状態にあったバックドアが、70,000以上のウェブサイトで使用されている人気のWordPressアドオンである「Quick Page/Post Redirect Plugin」で発見されました。
セキュリティ研究者のAustin Ginderは、ルーチンのフリート監査で管理下の12のサイト全体に「Quick Page/Post Redirect Plugin」バージョン5.2.3がフラグされた後、この問題を発見しました。
フックは!is_user_logged_in()でゲートされており、インジェクションはサイトを確認する管理者には完全に見えなくなりました。Googlebotを含むログアウトしたビジターが、インジェクションされたバックリンクを見ました。
WordPress.orgの公開SVNログが完全な履歴を明らかにしました。2020年10月28日、コミットr2408245がセルフアップデーターをtrunkに追加し、タグ5.2.1と5.2.2がそれに基づいてカットされました。
2021年2月14日、コミットr2474557がtrunkからアップデーターフォルダを静かに削除しましたが、バックチャネルは既存のすべてのインストールで引き続き動作していました。
2021年3月、改ざんされた5.2.3ビルドがanadnetアップデートサーバーで稼働し、すべてのシード済みサイトが1週間以内にそれをプルしました。
Ginderは、WP-CLI経由でバージョン5.2.4を強制インストールするために単一のCaptainCore APIコールを使用して、30秒以内にすべての18の環境を修復しました。
2026年4月14日、WordPress.orgプラグイン審査チームはレビュー待ちプラグインを一時的に閉鎖しました。プラグインはこの特定のバックドアに対処するPatchstackまたはWPScanからの勧告がありませんでした。
管理者は、バージョン5.2.1または5.2.2をまだ実行しているサイトに対して、プラグインを直ちにアンインストールし、John GodleyのRedirectionまたはSafe Redirect Managerに置き換えることをお勧めします。
このインシデントはより広いサプライチェーンリスクを強調しています。パッケージマネージャーによって報告されたバージョン番号はファイルの整合性を証明しません。
プラグインが独自のリモート更新ソースを登録する場合、公式リポジトリはもはやディスク上で実行されるものの信頼できるソースではなくなります。
翻訳元: https://cyberpress.org/backdoored-wordpress-plugin-uses-remote-update/
