The Hacker Newsによると、miniOrageのWordPressプラグインであるMalware ScannerとWeb Application Firewallに、Stiofanによって発見された重大なセキュリティ脆弱性CVE-2024-2172が存在する。この脆弱性の深刻度は、CVSS脆弱性評価システムで10点満点中9.8点である。
この脆弱性は広範囲に影響を及ぼしました。開発者が2024年3月7日にWordPressアプリストアから削除したにもかかわらず、マルウェアスキャナーは最大1万のウェブサイトにインストールされ、アクティブになっていることが記録されており、Webアプリケーションファイアウォールの300と比較して、依然として問題を引き起こす可能性があります。
Wordfenceは、この脆弱性はプラグインのコードにおけるチェックの不備に起因するものであり、攻撃者が認証なしに任意のユーザーのパスワードを任意に更新し、管理者権限に昇格できる可能性があり、ウェブサイト全体の侵害につながる可能性があると述べた。
最も人気のあるCMSプラットフォームであるWordPressは、ハッカーにとって格好の標的となっている。
管理者権限があれば、ハッカーは追加のプラグインやバックドアを含む悪意のあるzipファイルを簡単にダウンロードしたり、ウェブサイトの投稿を改変してユーザーを他の悪意のあるウェブサイトにリダイレクトしたりすることができる。
以前にも、RegistrationMagicという類似のプラグインが脆弱性コードCVE-2024-1991、CVSSスコア8.8で報告されており、これも深刻度の高い権限昇格の脆弱性です。このプラグインも1万回以上ダウンロードおよびインストールされています。
WordPressは、 世界中で広く利用されている人気のオープンソースコンテンツ管理システム(CMS)です。インストール、コンテンツのアップロード、管理が容易なため、オンラインストア、ポータルサイト、ディスカッションフォーラムなど、様々な種類のウェブサイトに最適なプラットフォームとなっています。w3techsによると、現在、世界中のウェブサイトの43.1%がこのCMSプラットフォームを使用しています。
ソースリンク
コメント (0)