CVE-2024-3105 (CVSS 9.9) in Woody Code Snippets Plugin Threatens 70,000+ WordPress Sites
2024/06/14 SecurityOnline — WordPress のプラグイン Woody Code Snippets に、深刻な脆弱性 CVE-2024-3105 (CVSS:9.9) が発見された。 この脆弱性の悪用に成功した、コントリビューター (寄稿者) 以上のアクセス権を持つ認証されたユーザーは、対象となるサーバ上で任意のコード実行を可能にし、このプラグインを使用している Web サイトに深刻なリスクをもたらす。
Woody Code Snippets プラグインは、ショートコードを用いる管理者が、Web サイトのヘッダー/フッター/投稿などのパートに、コード・スニペットや複製されたテキストを挿入する際に役立つものだ。さらに、このプラグインは、スニペットの表示を制御するための、条件付きロジックも提供している。しかし、プラグインの “insert_php” ショートコード機能の使用が、高レベルの許可されたユーザーだけに適切に制限されていないため、この機能を低権限ユーザーが悪用する隙が生じている。
つまり、適切な権限チェックが存在しないため、投稿者以上の権限を持つユーザーであれば、“insert_php” ショートコードを利用して、サーバ上で任意の PHP コードを実行できてしまう。この問題は、サーバの完全な侵害/データ搾取/Web サイトの改ざん/マルウェアの拡散につながる可能性を持つ。
この脆弱性は、セキュリティ研究者である Webbernaut により発見/報告されたものだ。
ただし、幸いなことに開発者は、Woody code snippets のバージョン 2.5.1 をリリースし、脆弱性 CVE-2024-3105 に対処している。このプラグインの全ユーザーに対して推奨されるのは、このバージョンへの迅速なアップデートにより、潜在的な攻撃から Web サイトを保護することだ。
また、Web サイトの所有者/管理者にとって必要なことには、コンテンツの改ざん/未承認のユーザーアカウントの存在などの、サイト上での不審な動きの監視がある。侵害の兆候が検出された場合には、被害の程度を調査するために直ちに行動を起こし、サイトを保護すべきである。
WordPress の Woody Code Snippets プラグインに、深刻な脆弱性が発生とのことです。かなり広範で活用されているプラグインであり、ご利用のチームも多いのかと思います。アップデートを、お急ぎください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.