2024/04/17 SecurityOnline — 広く使用されている WordPress Forminator プラグインに、複数の重大な脆弱性があることが JVN のセキュリティ・アドバイザリにより明らかになった。これらの脆弱性の悪用に成功した攻撃者は、Web サイトを侵害し、機密データを盗み、サービスに障害を引き起こす可能性を持つ。
Forminator とは?
Forminator とは、WPMU DEV が開発した人気の WordPressプラグインであり、Web サイト上で各種フォームを作成するための、ユーザーフレンドリーなドラッグ&ドロップ式のインターフェースを提供するものだ。このプラグインは、問い合わせ/アンケート/支払いなどの各種フォームのために、企業/団体/個人により使用されている。
脆弱性の説明
- CVE-2024-28890:無制限のファイル・アップロード (CVSS:9.8)
- この脆弱性の悪用に成功した攻撃者は、危険なタイプの悪意のファイルを、脆弱な Web サイトにアップロードできる。それにより攻撃者は、感染させたサイトを完全に制御できるようになり、 マルウェアのインストールや。コンテンツの改ざん、更なる攻撃へといたる可能性が生じる。
- CVE-2024-31077:SQL インジェクション (CVSS:7.2)
- この脆弱性の悪用に成功した攻撃者は、Web サイトのデータベース上で悪意の SQL クエリを実行できる。その結果として、ユーザ認証情報や、機密性の高い顧客情報などの機密データが盗まれる可能性が生じる。さらに攻撃者は、データベースの内容を改ざんし、また、データベース全体を削除する可能性も手にする。
- CVE-2024-31857:クロス・サイト・スクリプティング XSS (CVSS:6.1)
- この XSS 脆弱性の悪用に成功した攻撃者は、悪意の JavaScript コードを Web サイト・フォームに注入できるようになる。この悪意のコードは、被害者のブラウザで実行され、ユーザー・セッション情報の窃取や、悪意の Web サイトへのリダイレクトを行い、さらには、Web サイト上への悪意のコンテンツ注入などに悪用される可能性が生じる。
影響
これらの脆弱性の中で特に重要なものは、無制限ファイル・アップロードの問題であり、脆弱なバージョンの Forminator を使用している Web サイトに、深刻なリスクをもたらす。これらの脆弱性を悪用する攻撃者は、以下の可能にする:
- Web サイトの改ざん:ブランドの評判を傷つけ、ユーザーの信頼を損なう。
- マルウェアの拡散: 侵害されたサイトを悪用して、ウイルスなどの悪意のソフトウェアに、訪問者たちを感染させる。
- フィッシング攻撃の実行: ユーザーを騙し、個人情報や金銭情報を提供させる。
- 検索エンジン結果の改ざん: 検索結果を操作し、悪意の Web サイトへとトラフィックを誘導する。
緊急の呼びかけ
Forminator プラグインを使用している Web サイトの所有者/管理者は、最新のパッチが適用されたバージョンへと、直ちにアップデートする必要がある:
- CVE-2024-28890: Forminator バージョン 1.29.0 以降でパッチ適用。
- CVE-2024-31077: Forminator バージョン 1.29.3 以降でパッチ適用。
- CVE-2024-31857: Forminator 1.15.4 以降でパッチ適用。
WordPress におけるフォームの管理に多用される、Forminator プラグインに脆弱性とのことです。ご利用のチームは、ご注意ください。この記事ですが、JVN がソースになっていて、なんとなく嬉しいです。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.