WordPress脆弱性情報：Download Managerプラグイン

WordPressプラグインの脆弱性情報です。

Download Managerプラグインに、脆弱性存在の報告

Download Managerプラグインにおいて、脆弱性の存在が確認されました。
有効インストール数10万件を超えるプラグインで、日本でもユーザーは多いプラグインです。

 開示された脆弱性は、CVSS スコア8.8、高リスクなものです。

脆弱性の内容は、寄稿者（Contributor）以上の認証されたユーザーによる、任意のファイルの削除です。

この脆弱性を悪用すると、攻撃者によってwp-config.phpの削除が可能になり、それによってサイトの既存のデータベースとの切断が可能となります。

この後攻撃者がWordPressインストールのプロセスをやり直すことによって、独自のデータベースをサイトに接続し、サイトを改ざんすることが可能となります。

影響を受けるバージョン

脆弱性の影響を受けるプラグインのバージョンは、3.2.50以前のバージョンです。

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンは3.2.51です。

バージョン3.2.51リリース後、現時点（2022/8/4）では、3.2.53がリリースされています。

バージョン3.2.53では、サニタイズの修正が行われています。

プラグイン利用者の方は、すぐに最新版へのアップデートをしましょう。

このプラグインは脆弱性の検出が多いので、常に最新の状態を保つことをお勧めします。

CVE-ID

CVE-2022-2431