40,000+ Sites Exposed: WordPress Plugin Update Critical – CVE-2024-27956 & CVE-2024-27954
2024/03/19 SecurityOnline — 3月19日に Patchstack が公開したセキュリティ・アドバイザリによると、WordPress の Automatic プラグイン (プレミアム版) に、2つの危険な脆弱性 CVE-2024-27956/CVE-2024-27954 が発見されたとのことだ。WordPress サイトでのコンテンツ・インポートの自動化に用いられる同プラグインは、40,000 以上のアクティブなインストールがあるため、リスクは広範かつ差し迫ったものである。
1つ目の脆弱性 CVE-2024-27956 (CVSS:9.9) は、inc/csv.php ファイルに存在し、認証されていない任意の SQL クエリを可能にするものだ。この脆弱性の悪用に成功した攻撃者は、SQL クエリを操作するためのアクセスを獲得し、データ窃盗などの悪質な活動が可能になる。この脆弱性は、Patchstack の Rafie Muhammad により発見され、Automatic プラグインのバージョン 3.92.1 で解決されている。
2つ目の脆弱性 CVE-2024-27954 (CVSS:9.3) は、認証されていない任意のファイルのダウンロードと SSRF 攻撃につながる可能性があるものだ。この脆弱性は、downloader.php ファイルに存在しており、サイトからの任意のファイルのダウンロードを攻撃者に許すため、ログイン認証情報やバックアップ・ファイルなどの機密データが悪用される可能性が生じる。この脆弱性も、Rafie Muhammad に発見されたものであり、バージョン 3.92.1 で修正されている。
これらの脆弱性の発見により浮き彫りにされるのは、プラグイン開発における、特に SQL データベース操作や URL 取得のプラグイン開発における、包括的なセキュリティ対策の重要性である。Patchstack のレポートが強調するのは、SQL クエリ実行機能と URL フェッチ処理に対して、厳格な制御を課すことの必要性である。
管理者のような高い権限をもっていても、チェック・アンド・バランスなしに、本格的な SQL クエリを実行する機能を持つべきではない。同様に、URL フェッチもパーミッションや、nonce チェック、提供される URL の制限などにより保護されるべきだ。URL フェッチに wp_safe_remote_* のような関数を使えば、不正アクセスに対するプラグインの保護を強化できる。
ハッカーたちは、常に脆弱なプラグインに目を光らせている。Web サイトと訪問者のセキュリティのための最善の防御策は、常に情報を入手し、迅速に対処することだ。
WordPress Automatic って、何なのでしょうか?調べてみたら、ほぼすべての Web サイトから、WordPress への自動的なポストを可能にするプラグインとのことです。API を使用して Youtube や Twitter などのサイトからのインポートや、スクレイピング・モジュールを用いた Web サイトからインポートが可能であり、 OpenAI GPT を使用してコンテンツ生成に対応と、説明されていました。一言でいうと、コンテンツ収集サイトを作りますという、プラグインのようです。なかなか、面白そうですね。ご利用のチームは、この脆弱性に、ご注意ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.