WordPressを使用しているウェブサイトは、これらの2つのプラグインを削除する必要があります

The Hacker Newによると、WordPress プラグインの 2 つ (Malware Scanner と miniOrage の Web Application Firewall) は、Stiofan によって発見された重大なセキュリティ欠陥 (CVE-2024-2172) に対して脆弱であり、CVSS セキュリティ脆弱性評価システムの 10 段階評価で深刻度スコアは 9.8 です。

このバグの影響は広範囲にわたります。開発者は 2024 年 3 月 7 日に WordPress アプリ ストアからこのバグを削除しましたが、マルウェア スキャナーは最大 10,000 の Web サイトにインストールされアクティブになっていることが記録されているのに対し、Web アプリケーション ファイアウォールの場合は 300 であるため、依然として影響を及ぼす可能性があります。

Wordfenceは、この脆弱性はプラグインのコードにおけるチェック漏れが原因で、認証されていない攻撃者がユーザーのパスワードを任意に更新し、権限を管理者に昇格することができ、ウェブサイトが完全に侵害される可能性があると述べた。

管理者権限があれば、ハッカーは追加のプラグインやバックドアを含む悪意のある zip ファイルを簡単にダウンロードしたり、Web サイトの投稿を変更してユーザーを他の悪意のある Web サイトにリダイレクトしたりすることができます。

以前、同様のプラグインであるRegistrationMagicが、バグコードCVE-2024-1991、CVSSスコア8.8で報告されました。これもまた、深刻度の高い権限昇格の脆弱性です。このプラグインも1万回以上ダウンロードおよびインストールされています。

WordPressは、世界中で広く使用されている有名なオープンソースのコンテンツ管理システム（CMS）です。このCMSプラットフォームは、インストール、投稿、コンテンツの管理が容易なため、オンラインストア、ポータル、ディスカッションフォーラムなど、あらゆる種類のウェブサイトに最適なプラットフォームとなっています。w3techsによると、現在、世界中のウェブサイトの43.1%でこのCMSプラットフォームが採用されています。