CVE-2024-1698 (CVSS 9.8): Critical SQLi Flaw in NotificationX WordPress Plugin
2024/02/26 SecurityOnline — WordPress NotificationX は、30,000以上のインストールを誇る人気のプラグインだが、そのバージョン 2.8.2 以下に、深刻な SQL インジェクションの脆弱性 CVE-2024-1698 が発見された。この脆弱性の悪用に成功した未認証の攻撃者は、悪意のあるコードを注入し、対象となる Web サイトを完全に制御する可能性を得る。なお、この脆弱性の CVSS スコアは 9.8 であり、セキュリティ・リスクは Critical 分類される。
この脆弱性の仕組み
この脆弱性 CVE-2024-1698 は、プラグインの “type” パラメータにおける不適切な入力サニタイズに起因する。悪用に成功した攻撃者は、データベースを操作する悪意のある SQL クエリを作成することが可能となり、機密情報の抽出へといたる恐れがある。
SQL インジェクション攻撃とは、データベースのクエリを操作して、通常ではアクセス不能な情報を引き出すものである。今回のケースでは、WordPress のデータベースに保存されているユーザー名/ハッシュ化されたパスワード/顧客情報などの機密データが、攻撃者の標的となる可能性が生じる。
セキュリティ研究者である Krzysztof Zając – CERT PL が、この欠陥を報告した人物としてクレジットされている。
悪用の結果
この脆弱性の悪用に成功した攻撃者により、標的とされる Web サイトの所有者に対して、以下のような深刻な結果が生じる可能性がある:
- データの盗難: 機密情報が盗まれ、ダークウェブ上での販売や、個人情報の盗難などに悪用される可能性がある。
- Web サイトの改ざん: 攻撃者による Web サイト外観の変更や、悪意のコンテンツの挿入などが発生する可能性がある。
- マルウェアの配布: 侵害された Web サイトが、マルウェアの拡散に利用される可能性がある。
- 風評被害: セキュリティ侵害により、企業の評判や顧客の信頼に悪影響が生じる可能性がある。
影響を受けるバージョン
NotificationX プラグイン 2.8.2 以下の、すべてのバージョンに脆弱性が存在する。
予防措置の重要性
現時点において、CVE-2024-1698が積極的に悪用されているという報告はない。しかし、パッチが適用されていないプラグインは、サイバー犯罪者にとって格好の標的である。このプラグインを迅速にアップデートし、セキュリティのベストプラクティスに従うことで、Web サイトのリスクを大幅に減らすことが可能となる。
緩和策
このプラグインのユーザーは、可能な限り早急に、パッチが適用されたバージョン 2.8.3 へとアップデートする必要がある。この欠陥に対処するための、回避策は知られていない。
またも、WordPress プラグインの脆弱性ですが、今年に入ってから何件目なのか分からないほど、数多く報告されています。脅威アクターたちも、ガードの固いコアよりも、このようなプラグインを攻撃してくる可能性が高いので、ご利用のチームはご注意ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.