テオ ザ・ハッカー新しいWordPress 用の 2024 つのプラグイン、Malware Scanner と miniOrage の Web アプリケーション ファイアウォールで、Stiofan によって発見された重大なセキュリティ エラー CVE-2172-9,8 が発生しており、システムの 10 段階評価で重大なエラー スコアは XNUMX です。CVSS セキュリティの脆弱性得点。
開発者は 7.3.2024 年 10.000 月 300 日に WordPress アプリケーション ストアから削除されましたが、Malware Scanner は最大 XNUMX の Web サイトでのインストールとアクティビティを記録しているため、このエラーは広範囲に影響を及ぼします。 XNUMXです。
Wordfenceによると、この脆弱性はプラグインのコードのチェック不足が原因で、認証されていない攻撃者がユーザーのパスワードを恣意的に更新し、権限を管理者メンバーに昇格させることができ、Webサイトの完全な侵害につながる可能性があるという。
管理者権限を持っている場合、ハッカーは追加のプラグインやバックドアを含む悪意のある zip ファイルを簡単にダウンロードし、Web サイトの投稿を変更してユーザーを他の悪意のある Web サイトにリダイレクトすることができます。
以前、同様のプラグインである RegistrationMagic が、エラー コード CVE-2024-1991 および CVSS スコア 8.8 で報告されました。これも重大度の高い権限昇格の脆弱性です。このプラグインも 10.000 回以上ダウンロードおよびインストールされています。
WordPress は、世界中で広く使用されている有名なオープンソースのコンテンツ管理システム (CMS) です。この CMS プラットフォームでのコンテンツのインストール、投稿、管理が簡単なため、WordPress はオンライン ストア、ポータル、ディスカッション フォーラムなど、あらゆる種類の Web サイトにとって理想的なプラットフォームとなっています。 w3techs、この CMS プラットフォームは現在、世界中の Web サイトの 43,1% に選択されています。