WordPress Admins Urged to Remove miniOrange Plugins Due to Critical Flaw
2024/03/18 TheHackerNews — WordPress プラグインである、miniOrange の Malware Scanner と Web Application Firewall に、深刻なセキュリティ欠陥が発見された。ユーザーに求められるのは、これらのプラグインを Web サイトから削除することだ。Stiofan により発見された、この脆弱性 CVE-2024-2172 は、CVSS スコア 9.8 と評価されている。
この脆弱性の影響を受けるプラグインのバージョンは、以下の通りだ:
- Malware Scanner 4.7.2 以下
- Web Application Firewall 2.1.1 以下
これらのプラグインの、それぞれのアクティブなインストール数は、Malware Scanner 10,000 以上/Web Application Firewall 300 以上となる。しかし 2024年3月7日時点で、これらのプラグインは、メンテナにより永久にクローズされている。
WordPress のセキュリティ会社である Wordfence は、3月13日のブログで、「この脆弱性の悪用に成功した、認証されていない攻撃者は、ユーザー・パスワードを更新して、管理者権限を取得することが可能になる」と報告している。
この脆弱性は、関数 mo_wpns_init() の機能チェックの欠落に起因するものであり、攻撃者に管理者権限を与え、サイトの完全な侵害へといたる可能性を持つ。
Wordfence は、「WordPress サイトの管理者権限を獲得した攻撃者は、正規の管理者と同じように、侵害したサイト上であらゆる操作を実行できるようになる。たとえば、バックドアなどの悪意の zip ファイルとして提供される、プラグインやテーマなどのファイルをアップロードすることが可能である。その他にも、サイトの訪問者を他の悪意のサイトにリダイレクトしたり、投稿やページを改ざんすることで、スパム・コンテンツを注入に活用することなども考えられる」と詳述している。
同様に、WordPress の RegistrationMagic プラグインにおいても、深刻度の高い権限昇格の脆弱性 CVE-2024-1991 (CVSS:8.8) が発見されている。3月14日のブログで Wordfence は、同プラグインの 5.3.0.0 以下の、すべてのバージョンに影響が生じていると警告している。
この脆弱性も、認証された攻撃者が、ユーザー権限を変更して管理者権限を獲得するというものである。このプラグインは、2024年3月11日にリリースされたバージョン 5.3.1.0 で修正されたが、すでに 10,000 以上もインストールされている。
Wordfence の István Márton は、「この脆弱性により、サブスクライバー以上の権限をもつ脅威アクターが、サイト管理者の権限へ昇格することが可能となり、サイトの完全な侵害につながる可能性がある」と述べている。
メンテナがいなくなったプラグインが、いまだに広範に利用されており、そこに脆弱性が発生したという状況です。その機能は Malware Scanner と Web Application Firewall であるため、事態は深刻だと言えるでしょう。ご利用のチームは、このプラグインの削除を、ご検討ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.