Under Attack: CVE-2023-6700 in ‘Cookie Information’ Plugin Threatens 100k WordPress Sites
2024/02/02 SecurityOnline — 進化し続けるインターネットの世界において、データ・プライバシーと GDPR (General Data Protection Regulation) などの規制へのコンプライアンスの重要性は、日々高まりつつある。そんな中、人気の CMS の1つである WordPress は、これらの規制を遵守するのを支援するプラグインを、Web サイト所有者に対して数多く提供している。しかし、WordPress の Cookie Information | Free GDPR Consent Solution プラグインに、重大なセキュリティ脆弱性 CVE-2023-6700 が発見され、脅威アクターにより積極的に悪用されていることが判明した。
GDPR の遵守を求める Web サイト所有者にとって、Cookie Information | Free GDPR Consent Solution プラグインは貴重なツールだ。このプラグインは、無料のクッキー・ポップアップや同意ログなどの、重要な機能を備えており、100,000 以上のアクティブなインストールがある。しかし残念なことに、このプラグインに、深刻なセキュリティ・リスクが発生してしまった。
この脆弱性 CVE-2023-6700 (CVSS:8.8) は、重大な PHP オブジェクト・インジェクションの問題に起因するものだ。この欠陥は、サブスクライバー以上のアクセス権を持つ認証された攻撃者に対して、プラグインの AJAX リクエスト・ハンドラに欠落している、ケイパビリティ・チェックの悪用を許すものだ。それにより、サイト・オプションの任意の更新が可能になり、不正な管理者アカウントの作成につながる危険な脆弱性だ。
WordPress のセキュリティ会社である Wordfence は、CVE-2023-6700 を狙って、阻止された攻撃が、過去 24時間だけで 1,400 以上も検出されたと警鐘を鳴らしている。こうした攻撃の多さは、事態の緊急性の高さを示している。脅威アクターたちは、Web サイトを侵害して、不正なコントロールを得る可能性のあるチャンスを、積極的に利用している。
このプラグインのベンダーである Cookie Information は、深刻な脆弱性 CVE-2023-6700 に対応するために、バージョン 2.0.23 をリリースした。このアップデートでは、セキュリティ上の欠陥に対処し、悪用に対するプラグインの防御が強化されている。プラグインのユーザーに推奨されるのは、直ちに最新バージョンにアップグレードし、Web サイトを保護し、GDPR コンプライアンスを維持することだ。
迅速な対応を怠ると、深刻な結果を招きかねない。侵害された Web サイトは、ユーザーのデータと信頼を危険にさらすだけでなく、GDPR の規制上の罰則につながる可能性もある。日々あらゆるデータ漏洩のインシデントが報道されている中で、企業に求められるのは、評判と法的地位を守るために、セキュリティ対策を優先することである。
WordPress ユーザーにとって、とても重要な GDPR プラグインに発生した脆弱性が、すてに活発に悪用されているとのことです。昨日である 2024/02/01 にも、「WordPress の SeedProd Plugin に脆弱性 CVE-2024-1072:90万サイトで利用」という記事がポストされています。どちらも、かなりの数のサイトで利用されているだけに、とても心配な状況です。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.