Over 30,000 WooCommerce Sites Exposed by Critical Plugin Flaw (CVE-2024-6027)
2024/06/21 SecurityOnline — WordPress の人気プラグイン “WooCommerce Product Filter” の脆弱性により、30,000 以上のオンラインストアが深刻なデータ漏えいの危機にさらされている。脆弱性 CVE-2024-6027 (CVSS:9.8) の悪用に成功した攻撃者は、ストアのデータベースから顧客名/住所/クレジットカードなどの機密情報を窃取する可能性を手にする。
問題点
この脆弱性 CVE-2024-6027 は、ユーザーから提供されたデータを処理する方法における、タイム・ベースの SQL インジェクションの欠陥に起因する。具体的に言うと、商品検索のフィルタリングで使用される “conditions” パラメータの、攻撃者による操作が可能となり、データベースへの不正アクセスが生じ、価値の高い機密情報の暴露へといたる可能性がある。
影響範囲
WooCommerce Product Filter のバージョン 1.4.9 以下を実行している、すべてのオンライン・ストアに、この脆弱性は影響を及ぼす。このプラグインの人気は高く、30,000以上のアクティブなインストールが存在するため、その影響が広範囲に及ぶ可能性がある。
発見者とパッチ適用
この脆弱性 CVE-2024-6027 は、セキュリティ研究者である Arkadiusz Hydzik により発見され、プラグインの開発者に対して開示された。現時点において、この脆弱性が積極的に悪用されているという証拠はないが、オンライン・ストアの運営者は、直ちに対策を講じる必要がある。WordPress におけるパッチ未適用の脆弱性が、サイバー犯罪者たちに多用されていることを忘れないで欲しい。
対処方法
WooCommerce Product Filter プラグインを使用している場合には、以下の対応が必要となる:
- 早急なアップデート:このプラグインの、最新バージョン (1.5.0 以上) へとアップグレードする。このパッチが適用されたバージョンでは、脆弱性が修正され、セキュリティが確保される。
- データの確認:現時点でアクティブな悪用の報告はないが、不正アクセス/データ改ざんについて確認し、データベースや Web サイトのログにおいても、不審な動きの有無を確認する必要ある。
- 専門家のアドバイスを得る: プラグインの更新において不安がある場合や、サイトへの侵害の有無を判別できない場合には、サイバー・セキュリティ専門家に支援を求めるべきだ。
WooCommerce に関連する脆弱性ですが、2024年に入ってからは、5月に1件、6月は今回で2件目となっています。決済が絡む eコーマス・サイトは、脅威アクターたちにとって、きわめて魅力的なターゲットです。昨日である 2024/06/20 には、「脆弱性 CosmicSting CVE-2024-34102:Adobe Commerce/Magento サイトの 75% が未対応」という記事もポストされていました。よろしければ、WooCommerce で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.