CVE-2023-6989: Shield Security Plugin Hit by Severe LFI Vulnerability, 50,000+ Sites Affect
2024/02/05 SecurityOnline — 50,000 以上のアクティブなインストールを誇る WordPress プラグイン Shield Security に、深刻な脆弱性が発見された。この脆弱性は、Wordfence バグ・バウンティ・プログラムを介して、研究者である hir0ot により発見された。
この、新たに発見された脆弱性 CVE-2023-6989 (CVSS:9.8) は、LFI (Local File Inclusion) の欠陥と分類されている。この脆弱性の悪用に成功した認証されていない攻撃者は、サーバ上の PHP ファイルをインクルードすることが可能になり、任意の PHP コードを実行する可能性を持つ。しかし、この脆弱性は、その影響が PHP ファイルのインクルードのみに限定されるという微妙なものであり、直接にアクセスすることなく PHP ファイルをアップロードし、実行できる攻撃者により、悪用される可能性がある。
Wordfence はアドバイザリで、「これにより、認証されていない攻撃者がサーバ上の PHP ファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になる」と説明している。
Shield Security が備える機能は、ファイアウォール/マルウェア・スキャナー/アクティビティ・ログなどであり、WordPress サイト防御の砦となっている。しかし、.twig/.php/.html ファイルを処理するテンプレート管理システムが、今回の脆弱性の発生源となってしまった。そのレンダリング機能内の、ファイル・パス・サニタイズの欠如が、任意のファイル・インクルードへのトリガーになってしまったのだ。
脆弱性 CVE-2023-6989 の影響範囲が、PHP ファイルに限られているため、ログ・ファイル・ポイズニングのような、一般的なリモート・コード実行手法は回避されたが、それでも重大なリスクとなっている。攻撃者は、他のプラグインの脆弱性と攻撃を連鎖させる一連の操作により、この脆弱性を悪用できる。つまり、プラグインのエコシステムは、依存関係とリスクの複雑な網の目を示している。
Shield Security のユーザーに強く推奨されるのは、パッチを適用した最新バージョン 18.5.10 へのアップデートである。
このところ、WordPress に関連する脆弱性が、数多く報告されています。しかも、その全てが、多数のユーザーを持つプラグインです。よろしければ、2024/02/01 の「WordPress の SeedProd Plugin に脆弱性 CVE-2024-1072:90万サイトで利用」と、2024/02/02 の「WordPress の Cookie Information | Free GDPR プラグインに脆弱性:活発な悪用を観測」も、WordPress で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.