CVE-2024-1072: Critical Flaw in SeedProd Plugin Exposes 900K WordPress Sites
2024/02/01 SecurityOnline — WordPress の人気プラグイン Website Builder by SeedProd に、深刻な脆弱性が判明したが、そのインストール数は 90 万を超えるという。Website Builder by SeedProd は、Web サイトの作成とカスタマイズのプロセスを簡素化するために設計された、強力で使いやすい WordPress プラグインだ。SeedProd は、ドラッグ・アンド・ドロップ機能を提供しており、コードを記述することなく簡単にカスタム Web サイトを設計/構築できるため、WordPress ユーザーの間で高い人気を誇っている。
今回の脆弱性 CVE-2024-1072 (CVSS:8.2) の悪用に成功した攻撃者は、WordPress サイトの構造自体を改ざんし、大混乱を引き起こす可能性があるとされる。
CVE-2024-1072 の根本的な原因は、’seedprod_lite_new_lpage’ 関数内の機能チェックの欠落にある。この欠落により、認証されていないユーザーであっても、Web ページのコンテンツを改ざんが可能となる。具体的に言うと、近日公開ページやメンテナンス ページが、以前のバージョンに変えられてしまう可能性がある。
Wordfence の WordPress セキュリティ研究者は、「この問題を悪用する未認証の攻撃者は、プラグインで設定した近日公開ページ/メンテナンスページ/ログインページ/404ページの内容を変更することが可能になる」と述べている。
この緊急事態に対応するため、SeedProd の開発者は防御を強化し、バージョン 6.15.22 をリリースした。
サイトの所有者/管理者/開発者に推奨されるのは、可能な限り早急に SeedProd の Web サイトビルダーを最新バージョンに更新することだ。これらの欠陥が攻撃に悪用されたという報告はないが、WordPress プラグインのパッチが適用されていない脆弱性は、脅威アクターにより頻繁に悪用されている。
またも、WordPress プラグインに脆弱性です。文中には、「Web サイトの作成とカスタマイズのプロセスを簡素化するために設計された、強力で使いやすい WordPress プラグイン」と記されており、このサイトでも使いたいと思うものですが、こういう怖さがあるので、「プラグインは使わない」というポリシーで運用しています。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.