Urgent Security Alert: Avada WordPress Theme Vulnerability (CVE-2024-1468)
2024/02/29 SecurityOnline — 約 950,000 件の販売実績を持つ人気の WordPress テーマである Avada に、深刻度の高いセキュリティ脆弱性 CVE-2024-1468 (CVSS:8.8) が発見された。この脆弱性が悪用されると、投稿者レベル以上の権限を持つ認証済みの攻撃者が、影響を受ける Web サイト上で任意のファイルをアップロードし、悪意のコードを実行する可能性が生じる。
この脆弱性の発見者である、サイバー・セキュリティ研究者の Muhammad Zeeshan (Xib3rR4dAr) には、Wordfence Bug Bounty Program から $2,751.00 の報奨金が支払われた。
この脆弱性 CVE-2024-1468 の根本的な原因は、Avada の ajax_import_options() 関数にある。7.11.4 以下のバージョンには、ファイル・タイプの検証という重要なレイヤーが欠如していた。そのため、投稿者レベルのアクセス権限を持つ認証済みの攻撃者が、あらゆる種類のファイルをサーバーにアップロードできるようになり、リモート・コード実行につながる可能性が生じていた。
この脆弱性の悪用は、テーマのページ・オプション・インポート機能に依存しており、その安全でない実装により、任意のファイルのアップロードが可能になっている。テーマのコードを深く掘り下げると、Avada_Page_Options クラスの ajax_import_options() 関数は、ファイル拡張子を制限せずに JSON 形式でオプションをインポートするように設計されていることが判明した。その結果として、攻撃者は拡張子 .php のファイルを、WordPress の uploads フォルダにアップロードできるようになる。
アップロードされたファイルは、即座に削除される。しかし、攻撃者は、大きなアップロードをサーバーに集中させ、実行のトリガーとなる競合状態を生み出すことで、悪用のための短時間のチャンスを得る。研究者たちは、 悪用に成功したエクスプロイトを複製し、その容易さを実証してみせた。
Zeeshan は、脆弱性を発見した直後である 2024年2月6日に、Avada の開発者である ThemeFusion に報告した。この脆弱性の詳細が完全に開示されたことで、ThemeFusion は迅速に対応し、2024年2月12日にパッチ (バージョン7.1.15) を発行し、この重大な侵害に対処した。
WordPress のテーマ Avada に深刻な脆弱性です。このブログには、たくさんのテーマが提供されており、調べてみましたが、どのようなものなのかは確認できませんでした。このブログでも、もう少しオシャレなテーマを使いたいとは思っていますが、脆弱性を考えると、二の足を踏んでしまいます。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.