Hackers target WordPress calendar plugin used by 150,000 sites
2024/07/09 BleepingComputer — WordPress Modern Events Calendar は、15万以上の Web サイトで利用される人気のプラグインである。このプラグインの脆弱性を悪用するハッカーによりたちが、標的とするサイトに任意ファイルをアップロードし、リモート・コード実行を試みている。Webnus が開発した Modern Events Calendar は 、リアル/バーチャル/ハイブリッドのイベントを組織し、管理するために使用されるプラグインである。
この攻撃で悪用される脆弱性 CVE-2024-5441 (CVSS:8.8) は、5月20日に開催された Wordfence の Bug Bounty Extravaganza で、 Friderika Baranyai により報告されたものだ。Wordfence は、「この脆弱性は、プラグインの “set_featured_image” 関数における、ファイル・タイプ検証の欠如に起因している」と、レポートの中で述べている。
この関数は、画像の URL と投稿 ID を受け取り、添付ファイルの ID を取得しようとし、見つからない場合は “get_web_page” 関数を用いて画像をダウンロードする。続いて、”wp_remote_get” または “file_get_contents” により画像を取得し、”file_put_contents” 関数を用いて WordPress の uploads ディレクトリに保存する。
WordPress Modern Events Calendar 7.11.0 以下のバージョンでは、アップロードされた画像ファイルにおける拡張子のファイル・タイプ・チェックが行われないため、あらゆるファイル・タイプのアップロードが可能となり、その中にはリスクの高い “.PHP” ファイルも含まれる。
一度アップロードされたファイルに対して、アクセスして実行することが可能なため、サーバ上でのリモート・コード実行へといたり、Web サイトが完全に乗っ取られる恐れが生じる。
サブスクライバーや登録されたメンバーを含む、認証されたユーザーであれば誰でも、この脆弱性 CVE-2024-5441 の悪用は可能である。非会員 (アカウントを持たない訪問者) からのイベント投稿を許可するように、このプラグインが設定されている場合であっても、CVE-2024-5441 は認証なしで悪用が可能である。
すでに Webnus は、Modern Event Calendar 7.12.0 のバージョンをリリースすることで、この脆弱性を修正している。
その一方で、Wordfence の報告によると、すでにハッカーたちは、この脆弱性を悪用する攻撃を試みており、24時間で 100回以上の攻撃がブロックされたという。
現時点で進行中の悪用アクティビティを考えると、Modern Events Calendar/Modern Events Calendar Lite (無料版) のユーザーにとって必要なことは、可能な限り早急に最新版へとアップグレードすることである。また、直ちにアップデートを実行できない場合には、プラグインを無効化することも検討すべきである。
文中でも指摘されているように、この脆弱性 CVE-2024-5441 は、悪用が簡単であり、また、攻撃対象が広範に存在するという、きわめて危険なものと言えるでしょう。ご利用のチームは、早急なパッチ適用を、ご検討ください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.