XenForo Issues Urgent Security Patch to Thwart Remote Code Execution Threat
2024/06/17 SecurityOnline — 人気のフォーラム・ソフトウェア・プラットフォーム XenForo がリリースしたのは、リモートコード実行や XSS 攻撃に繋がりかねない、深刻なな脆弱性に対処するための緊急セキュリティ・パッチである。2つの脆弱性 CVE-2024-38457/CVE-2024-38458 の悪用に成功した攻撃者は、影響を受けるサーバの制御を奪い、ユーザーが閲覧する Web ページへの有害なスクリプトの注入などを可能にするという。
XenForo は広く使用されているフォーラム・ソフトウェアであり、その柔軟性と豊富なカスタマイズ・オプションが高く評価されている。この、強固なユーザー基盤を持つプラットフォームにとって、セキュリティを確保することは最重要の課題です。今回の XenForo のアドバイザリは、特定された脆弱性に対処し修正するための迅速な措置を講じることで、このコミットメントを強調するものとなっている。
この脆弱性は、クロス・サイト・リクエスト・フォージェリ (CSRF) とコード・インジェクションの弱点の組み合わせに起因している。この脆弱性の悪用に成功した攻撃者は、サーバ上での任意のコード実行/データ漏洩/Web サイトの改ざんなどを行い、サーバを完全に侵害する可能性も手にする。
XenForo と SSD Secure Disclosure は共同で、これらの脆弱性を特定した独立系セキュリティ研究者 Egidio Romano (EgiX) に感謝の意を表している。
XenForo のバージョン 2.1.15/2.2.16 未満を実行している、すべてのユーザーに対して強く推奨されるのは、セキュリティ修正が含まれるバージョンへと、早急にアップデートすることである。また、パッチを手動で適用することも可能とされる。
XenForo Cloud を利用しているユーザーは、すでに修正パッチが自動的に配布されているので問題は生じない。XenForo 2.3 のプレリリース・バージョンを使用しているユーザーは、リリース・キャンディデイトのアナウンス・スレッドに記載されている手順に従ってほしい。
XenForo 2.2.16 では、重要なセキュリティ修正以外にも、いくつかの改善とバグ修正が行われ、全体的なユーザー・エクスペリエンスが向上している:
- 開発者ツール: xf-dev:class-use-function の改善により、属性とコメントを持つクラスのサポートが向上した。
- ユーザビリティ: 永続的なアクション・インジケータとナビゲーションの修正および、ブックマーク編集のエラー処理が改善された。
- セキュリティ: セキュリティでロックされたフレーズを追加し、電子メールのフレーズを改良し、無効化されたアカウントの取り扱いを改善した。
XenForo について調べてみたら、Wikipedia に「PHP で書かれたインターネット・フォーラム?パッケージである。このソフトウェアは、元 vBulletin の主任開発者 Kier Darby と Mike Sullivan により開発された。XenForo の最初のパブリック・ベータは 2010年10月にリリースされ、ステイブル・バージョンは 2011年3月8日にリリースされた。このプログラムには、いくつかの検索エンジン最適化 (SEO) 機能が含まれている」と紹介されていました。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.