このプラグインの過去バージョンが、nvd.nist.govのセキュリティ警告を受けているのを見ました。当社は貴プラグインを長年使わせていただいていますが、問題が起きたことやスパムを受けたことは一度もありません。驚いてnvd.nist.govで詳細を見ようとしましたが、詳細が表示されません。どういうことなのか、御社に説明していただきたいです。
ご利用くださり、ありがとうございます。また、あたたかいご連絡を、ありがとうございます。
私は、代表取締役の ばんざい でございます。このプラグインの開発者でございます。
お申し越しの「nvd.nist.govのセキュリティ警告」というのは、https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&orderBy=2.3&keyword=cpe%3A2.3%3Aa%3Arainbow-link%3Aall_post_contact_form&status=FINAL%2CDEPRECATEDのことかと存じます。
以下のとおりご案内いたします。
当社は、2024年9月21日に、「添付ファイルをサーバーに保存しておく機能」を搭載したv1.6.2をリリースしました。そうしましたところ、「shell scriptをアップロードできる」という警告を受けました。
私が警告主のサイトにレポートを見に行ったところ、「localhostにインストールしたWordPressサイト」を前提にしておられることが分かりました。つまり、「どこかの公開サーバーで、当社のユーザーのサイトが侵害された」という話ではなかったのです。
そこで、私は、警告主に、「当社は、本プラグインの実物デモサイト(www.secure-formmail.net)を公開しております。当社の公開実物デモサイトにshell scriptをアップロードしてみてください」と申し上げました。しかし、警告主から返信をいただくことができませんでした。
当社のサーバーは、本プラグインの「公開実物デモサイト」はもちろん、当社の公式サイトRainbow-Link.comも含めて、毎日毎秒様々な「攻撃」を受けています。しかし、どのサーバーにも、一度も、shell scriptをアップロードされたことはありません。
私は、本プラグインの実物デモサイト(www.secure-formmail.net)を、いまでこそ自社データセンターで公開しておりますが、2024年8月31日までは、海外の一般的な共用レンタルサーバーで公開しておりました(イギリスの著名なホスティングサービスです。私のプラグインが「ごく一般的なレンタルサーバーでも動く」ことを証明する必要があったからです)。そのときも、shell scriptをアップロードされたことはありませんでした。
つまり、nvd.nist.govに記載されている内容の攻撃を、私は把握したことはないのです。
しかしながら、当社は、この警告を受けたため、WordPress.orgから1ヶ月ほどプラグインの公開を拒否されました。
そこで、私は、WordPress.orgから締め出されているあいだ、WordPress.orgが納得するように、処理を書き加えました。v1.6.3からv.1.7.3までがその期間のアップロード履歴になります。
私は、実際の処理を行うプログラムを書いたファイルを「core」と呼び、技術者たちが読みやすいように一枚にしておりましたが、wordpress.orgの公式チームから、「コメントがない」「長すぎる」と指摘されたため、ファイルを分け、コメントを書きました。そのうえで、本プラグインの管理画面において、様々な「セキュリティ関連プラグイン」を紹介することにしました。ちなみに、この「セキュリティ関連プラグイン」のなかの開発元のひとつが、当社に「セキュリティ警告」を行ったところになります。
以上、参考になさってください。
引き続き、安心してご愛顧くださいますようお願い申し上げます。
私は、代表取締役の ばんざい でございます。このプラグインの開発者でございます。
お申し越しの「nvd.nist.govのセキュリティ警告」というのは、https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&orderBy=2.3&keyword=cpe%3A2.3%3Aa%3Arainbow-link%3Aall_post_contact_form&status=FINAL%2CDEPRECATEDのことかと存じます。
以下のとおりご案内いたします。
当社は、2024年9月21日に、「添付ファイルをサーバーに保存しておく機能」を搭載したv1.6.2をリリースしました。そうしましたところ、「shell scriptをアップロードできる」という警告を受けました。
私が警告主のサイトにレポートを見に行ったところ、「localhostにインストールしたWordPressサイト」を前提にしておられることが分かりました。つまり、「どこかの公開サーバーで、当社のユーザーのサイトが侵害された」という話ではなかったのです。
そこで、私は、警告主に、「当社は、本プラグインの実物デモサイト(www.secure-formmail.net)を公開しております。当社の公開実物デモサイトにshell scriptをアップロードしてみてください」と申し上げました。しかし、警告主から返信をいただくことができませんでした。
当社のサーバーは、本プラグインの「公開実物デモサイト」はもちろん、当社の公式サイトRainbow-Link.comも含めて、毎日毎秒様々な「攻撃」を受けています。しかし、どのサーバーにも、一度も、shell scriptをアップロードされたことはありません。
私は、本プラグインの実物デモサイト(www.secure-formmail.net)を、いまでこそ自社データセンターで公開しておりますが、2024年8月31日までは、海外の一般的な共用レンタルサーバーで公開しておりました(イギリスの著名なホスティングサービスです。私のプラグインが「ごく一般的なレンタルサーバーでも動く」ことを証明する必要があったからです)。そのときも、shell scriptをアップロードされたことはありませんでした。
つまり、nvd.nist.govに記載されている内容の攻撃を、私は把握したことはないのです。
しかしながら、当社は、この警告を受けたため、WordPress.orgから1ヶ月ほどプラグインの公開を拒否されました。
そこで、私は、WordPress.orgから締め出されているあいだ、WordPress.orgが納得するように、処理を書き加えました。v1.6.3からv.1.7.3までがその期間のアップロード履歴になります。
私は、実際の処理を行うプログラムを書いたファイルを「core」と呼び、技術者たちが読みやすいように一枚にしておりましたが、wordpress.orgの公式チームから、「コメントがない」「長すぎる」と指摘されたため、ファイルを分け、コメントを書きました。そのうえで、本プラグインの管理画面において、様々な「セキュリティ関連プラグイン」を紹介することにしました。ちなみに、この「セキュリティ関連プラグイン」のなかの開発元のひとつが、当社に「セキュリティ警告」を行ったところになります。
以上、参考になさってください。
引き続き、安心してご愛顧くださいますようお願い申し上げます。
( 2024/12/28, 21:52:46, JST )
