CVE-2024-2194: WP Statistics Flaw Opens 600K+ WordPress Sites to Attack
2024/03/11 SecurityOnline — WordPress セキュリティの権威 Wordfence が警告するのは、広く使用されている WP Statistics プラグインに存在する深刻な脆弱性についてである。この脆弱性 CVE-2024-2194 の悪用に成功した攻撃者は、WordPress Web サイトに悪意のコードをダイレクトに注入することが可能となり、機密データやサイト機能が危険にさらされるという。
WP Statistics とは?
WP Statistics は、60万以上の WordPress Web サイトで使用されている人気のプラグインである。このプラグインがサイト所有者に対して提供するものには、訪問者に関するトラフィックパターン/検索エンジンからの参照/人気コンテンツなどの貴重な情報が含まれる。
脅威の性質
この脆弱性 CVE-2024-2194 (CVSS:7.2) は、URL 検索パラメータを介して悪用される可能性のある、蓄積型クロス・サイト・スクリプティング (XSS) の問題として分類されている。この脆弱性を悪用する攻撃者は、有害な Web スクリプトをサイトのページに注入することが可能となり、それらの侵害されたページをユーザーが読み込むたびに、それらのスクリプトが実行される。
XSS 攻撃は、Web サイトとユーザーとの間の信頼を悪用するものだ。悪意のコードの注入により、正当なページ内で有害なコマンドが実行される。それにより、すべての訪問者に影響を与え、データの窃取やサイトの危険につながる可能性が生じる。
危険な理由
- 広範な影響:600,000以上のアクティブなインストールがあるため、多数の Web サイトが脆弱である可能性がある。
- ログイン不要:この脆弱性を悪用する攻撃者は、標的とする Web サイトにおける既存のアカウントを取得する必要がない。したがって、攻撃への参入障壁が大幅に低減される。
- XSS 攻撃の広大な影響:悪用の結果として、ログイン情報の窃取/危険なサイトへのリダイレクト/バックドアの挿入/不正な管理者アカウントの作成などが生じる可能性がある。
自分自身を守る – 今すぐ対策を
- 迅速なアップデート:事態の緊急性にもかかわらず、相当数の WP Statistics ユーザーが脆弱な状況にある。WordPress のデータによると、このプラグインは過去5日間だけで、約156,000回もダウンロードされている。したがって、この脆弱性を緩和するために必要なアップデートを、多数のサイトが適用していないことが示唆される。WP Statistics プラグインを使用している場合には、可能な限り早急に、最新のパッチが適用されたバージョンへとアップデートしてほしい。
- 情報を広める:この情報を、他の WordPress サイト所有者に知らせてほしい。
- アップデートに注意:プラグインの脆弱性が多発している。あなたの WordPress サイトにおける、すべてのプラグインとテーマに関して、速やかにアップデートを適用する習慣をつけるべきだ。
WordPress の人気プラグインである WP Statistics に、深刻な脆弱性が発見されました。ピンからキリまで、多種多様なプラグインが提供される WordPress ですが、このところは、有名どころの脆弱性が止まらないという状況です。ご利用のチームは、ご確認ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.