Unauthenticated Attackers Can Hijack 400K+ WordPress Sites via Fluent Forms Bug (CVE-2024-2771)
2024/05/20 SecurityOnline — 400,000 以上のインストール数を誇る WordPress プラグインの Fluent Forms に、3つの重大なセキュリティ脆弱性 CVE-2024-4709/CVE-2024-2771/CVE-2024-2782 が発見された。これらの脆弱性が攻撃者に悪用されると、XSS (cross-site scripting)/不正アクセス/権限昇格などが発生し、Web サイトの侵害や機密データの窃取にいたる可能性が生じる。
それぞれの脆弱性の詳細は下記の通り:
- CVE-2024-4709 (CVSS 7.2):認証済み蓄積型 XSS の脆弱性。この脆弱性の悪用に成功した、コントリビュータ・レベル以上の権限を持つ攻撃者は、Web ページへの悪意のスクリプトの注入が可能になる。そのページをユーザーが閲覧する際に、注入されたスクリプトが実行される可能性が生じる。
- CVE-2024-2771 (CVSS 9.8):設定の更新に対する、承認の欠落と制限付き権限昇格の脆弱性。この脆弱性の悪用に成功した未認証の攻撃者は、設定やデータを操作できる Fluent Forms プラグインの管理アクセスを、不正に窃取できるようになる。
- CVE-2024-2782 (CVSS 7.5):設定操作に対する権限欠落の脆弱性。この脆弱性を悪用する未認証の攻撃者により、プラグインの全設定の変更が可能になる。その結果として、Web サイトの機能の中断だけではなく、さらなる悪意のアクティビティの可能性が生じる。
脆弱性の影響と緊急性
これらの脆弱性は、Fluent Forms プラグインを使用している Web サイトに重大なリスクをもたらす。悪用に成功した攻撃者は、以下のような悪意のアクションを実行する可能性を手にする:
- Web サイトの改ざんやオペレーションの妨害
- データの窃取
- 機密情報への不正アクセス
- 悪意のコード・インジェクション
これらの脆弱性は、Fluent Forms プラグインの 5.1.17 で修正されている。したがって、Web サイト所有者に強く推奨されるのは、アップデートを直ちに行うことである。
その他の推奨事項
さらに、プラグインをアップデートするだけではなく、以下のセキュリティ対策も検討すべきだ:
- Web サイト・データの定期的なバックアップを実施する。
- 強固なパスワード・ポリシーを導入する。
- WAF (web application firewall) を使用して、一般的な攻撃から保護する。
- 不審なアクティビティに対して Web サイトを監視する。
WordPress というプラットフォームに対して提供されるプラグインは、膨大な数を誇っているわけですが、そのクオリティもユーザー数もピンキリで、脆弱性情報が出たとしても、拾って良いものなのかどうか、とても悩むとお隣のキュレーション・チームは言っています。その意味で、各種のニュースソースをベースにしている、このブログは役に立つと感謝されています。そして、この Fluent Forms は、400,000 以上のインストール数を誇るとのことなので、脆弱性レポートにも、安心して掲載できるはずです。せっかく拾った脆弱性情報が、ノイズになってしまうのでは、本末転倒ですからね。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.