CVE-2024-2876: Critical Security Flaw Impacts Popular WordPress Email Marketing Plugin
2024/04/15 SecurityOnline — 人気の WordPress プラグインである Email Subscribers by Icegram Express に、深刻なセキュリティ脆弱性 CVE-2024-2876 (CVSS:9.8) が発見された。このプラグインの脆弱性の悪用に成功した、認証されていない攻撃者は、WordPress サイトに悪意のコードを注入する可能性を持つ。
脆弱性の詳細
攻撃者は、この SQL インジェクションの脆弱性を悪用することで、WordPress データベースから、以下のような機密データを抜き取ることが可能となる:
- ユーザー名とメールアドレス
- パスワード・ハッシュ (アカウントの漏洩につながる可能性がある)
- サブスクライバー・リスト
- その他の Web サイト固有の情報
脆弱性の仕組み
脆弱性 CVE-2024-2876 は、このプラグインの IG_ES_Subscribers_Query クラス内における、”run” 関数に存在する。この脆弱性を悪用する攻撃者は、ユーザー入力を操作し、プラグインを騙して、Web サイトのデータベース上で不正な SQL コードを実行できる。
影響を受ける Web サイト
パッチが適用されていないバージョンである、Email Subscribers by Icegram Express 5.7.14 以下を実行しているWordPress サイトは、潜在的に脆弱である。このプラグインには、90,000以上の有効なインストールがあるため、この脆弱性は広範囲に影響を及ぼす可能性がある。
ただちにアップデートを!
Email Subscribers by Icegram Express を使用している、サイトの所有者に対して強く推奨されるのは、セキュリティ・パッチが実装されているバージョン 5.7.15 以降への速やかなアップデートである。それを怠った場合には、Web サイトがデータ漏洩の重大なリスクにさらされることになる。
攻撃から身を守るために
プラグインをアップデートするだけでなく、Web サイト管理者は、以下のセキュリティ対策に注意する必要がある:
- 定期的なアップデート:全ての WordPress プラグインとテーマが最新であることを確認する。
- セキュリティ・プラグインを導入する:SQL インジェクションのような攻撃から守るために、評判の良いセキュリティ・プラグインのインストールを検討する。
- 強固なパスワードを設定する:強力でユニークなパスワードを使用する。
WordPress には、たくさんのプラグインがありますが、その中でもインストール数の多いものに脆弱性がある場合に限って、各種のセキュリティ・ニュース・メディアが取り上げているようです。お隣のキュレーション・チームは、どのプラグインを追跡すればよいのかと迷っていましたが、このブログを参考にして、レポートを構成するようになったと言っています。取り上げるべき脆弱性が分かりにくいという領域の一つが、WordPress プラグンなのだろうと思います。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.