The Hacker Newsによると、miniOrage の 2 つの WordPress プラグイン、Malware Scanner と Web Application Firewall に、Stiofan によって発見された重大なセキュリティ脆弱性 CVE-2024-2172 が発生しており、CVSS 脆弱性スコアリング システムで深刻度スコアが 10 点満点中 9.8 となっている。
この脆弱性は広範囲に影響を及ぼしました。開発者は2024年3月7日にWordPressアプリストアからこの脆弱性を削除しましたが、Webアプリケーションファイアウォールの場合は300件であったのに対し、マルウェアスキャナーは最大10,000件のWebサイトにインストールされアクティブになっていることが記録されているため、依然として問題を引き起こす可能性があります。
Wordfenceは、この脆弱性はプラグインのコードにおけるチェックの欠如に起因しており、攻撃者が認証なしで任意のユーザーのパスワードを任意に更新し、権限を管理者に昇格することができ、ウェブサイトが完全に侵害される可能性があると述べています。
最も人気のある CMS プラットフォームである WordPress は、ハッカーの主な標的です。
管理者権限があれば、ハッカーは追加のプラグインやバックドアを含む悪意のある zip ファイルを簡単にダウンロードしたり、Web サイトの投稿を変更してユーザーを他の悪意のある Web サイトにリダイレクトしたりすることができます。
以前、RegistrationMagicと呼ばれる類似のプラグインが、脆弱性コードCVE-2024-1991、CVSSスコア8.8で報告されていました。これもまた、深刻度の高い権限昇格の脆弱性です。このプラグインも1万回以上ダウンロードおよびインストールされています。
WordPressは、 世界中で広く使用されている人気のオープンソースコンテンツ管理システム(CMS)です。インストール、コンテンツのアップロード、管理が容易なため、オンラインストア、ポータル、ディスカッションフォーラムなど、さまざまな種類のウェブサイトに最適なプラットフォームです。w3techsによると、現在、世界中のウェブサイトの43.1%がこのCMSプラットフォームを使用しています。
[広告2]
ソースリンク
コメント (0)