CVE-2024-5756 (CVSS 9.8): Critical Icegram Express Flaw Puts 90,000 WordPress Sites at Risk
2024/06/23 SecurityOnline — 90,000 以上のアクティブなインストールを誇る、WordPress 用のメール・マーケティング・プラグイン Icegram Express に発見された脆弱性 CVE-2024-5756 (CVSS:9.8) により、機密性の高いユーザー・データが危険にさられる可能性が生じている。この脆弱性の悪用に成功した未認証の攻撃者は、プラグインのデータベース・クエリに悪意のコードを注入することが可能となるため、大規模なデータ漏洩につながる恐れがある。
CVE-2024-5756:タイムベースの SQL インジェクションの脆弱性
この脆弱性の悪用に成功した攻撃者は、セキュリティ対策を迂回し、基礎となるデータベース上で不正なコマンドを実行することが可能になる。つまり、WordPressサイト内に保存されている顧客リスト/Eメールアドレス/個人情報にまで、攻撃者がアクセスする可能性が生じることになる。
Icegram Express は、Eメールキャンペーンの管理/購読者リストの作成/ターゲットを絞ったニュース・レターの送信などのために、企業や個人を問わず広く利用されている。このプラグインの人気と、脆弱性の深刻さが相まって、サイバー・セキュリティ上の重大な懸念となっている。
既知のエクスプロイト:現時点では発見されていない
現在のところ、この脆弱性が積極的に悪用されているという報告はない。しかし、パッチが適用されていない脆弱性が、サイバー犯罪者の標的になることが多いため、十分な注意が必要である。Web サイトの所有者は、データとユーザーを守るために、早急に対策を講じる必要がある。
今すぐパッチ適用を!
すでに Icegram Express の開発者は、この脆弱性に対処するセキュリティ・アップデート (バージョン 5.7.24 ) をリリースしている。したがって、Web サイトの所有者にたいして強く推奨されるのは、可能な限り早急にプラグインをアップデートし、データ漏洩のリスクを軽減することだ。
専門家のアドバイス
この脆弱性の発見者である、セキュリティ研究者の Arkadiusz Hydzik は、脆弱性に対して速やかにパッチを当てることの重要性を強調している。同氏は、Web サイト所有者たちに対して、システムを保護するための積極的な対策を講じ、潜在的な脅威に対する警戒を怠らないよう促している。
Icegram Express を使用している場合の対処法
- 直ちにアップデート:プラグインを最新バージョンの 5.7.24 以上にアップグレードする。
- データを確認:今のところ、積極的な悪用は確認されていないが、データベースや Web サイトのログにおける不審な動きを監視することが賢明である。
- 専門家の助けを借りる:脆弱性の修正方法がわからない場合や、サイトが侵害された可能性がある場合は、サイバー・セキュリティの専門家に相談しよう。
WordPress の Icegram Express という、メール・マーケティング・プラグインに脆弱性です。90,000 以上のアクティブ・ユーザーがいるとのことなので、知らないうちに使っていたという状況にならないよう、ご注意ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.