CVE-2024-6172: Critical Flaw in Icegram Express Plugin Threatens 90,000+ WordPress Sites
2024/07/02 SecurityOnline — メール・マーケティングやニュースレターに広く使われている WordPress プラグインの Icegram Express に、深刻な脆弱性が発見された。この脆弱性は CVE-2024-6172 として追跡されており、その CVSS スコアは 9.8 と最大に近い値となっている。
CVE-2024-6172 は、Email Subscribers by Icegram Express で発見された、タイム・ベースの SQLインジェクションの脆弱性である。この脆弱性は、ユーザーから提供されたdbパラメーターのエスケープが不十分であること、そして、既存の SQL クエリーの準備が不十分であることに起因するものであり、5.7.25 以下の全てのバージョンに存在する。
認証されていない攻撃者であっても、悪意の SQL クエリを db パラメータに注入することで、この脆弱性を悪用できる。適切なサニタイズと準備の欠如により、攻撃者は注入したクエリでデータベースの操作が可能となり、以下のような悪意のアクションを実行する可能性を手にする:
- 機密データの窃取: Eメール・リストやサブスクライバー情報などの、WordPress データにアクセスされる可能性がある。
- サイト制御の奪取:最悪のケースでは、この脆弱性の悪用に成功した攻撃者が、Web サイトへの管理アクセスを獲得する可能性がある。その結果として、Web サイトの改ざん/マルウェアの拡散/悪質なサイトへのリダイレクトなどにいたる恐れがある。
- 業務の中断: 完全な制御が奪われない場合でも、データの削除やプラグイン機能の停止などの混乱が、攻撃者により引き起こされる可能性が生じる。
Icegram Express の 5.7.25 以下を使用している、すべての Web サイトが危険にさらされている。このプラグインは、ユーザーフレンドリーなインターフェースと手頃な価格により、中小企業からも大企業からも人気を得ている。したがって、影響の範囲も広いと推測される。
なお、このセキュリティ脆弱性は、Shaman Red Team の研究者 shaman0x01 により発見された。Icegram Expressは、彼らの責任ある情報開示を受け、悪用が広まる前にパッチを適用することができた。
Icegram Express を使用しているユーザーに推奨されるのは、Web サイトとサブスクライバーを保護するために、最新バージョンである 5.7.26 以降へと、ただちにアップデートすることである。アップデートを直ちに行えない場合には、このプラグインの一時的な無効化を検討すべきである。
今年に入ってから、2024/04/15 の「WordPress Email Subscribers の脆弱性 CVE-2024-2876 が FIX:ただちにアップデートを!」と、2024/06/23 の「WordPress Icegram Express の脆弱性 CVE-2024-5756 が FIX:CVSS 値は 9.8」が続いており、今日の記事で3回目の脆弱性となります。ご利用のチームは、過去の脆弱性も含めて、ご確認ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.