CVE-2024-6457 (CVSS 9.8): Critical Flaw in HUSKY Plugin Threatens 100K+ WooCommerce Stores
2024/07/16 SecurityOnline — 広く使用されている WordPress プラグイン HUSKY – Products Filter Professional for WooCommerce に重大なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-6457 の CVSS スコアは 9.8 (Critical) であり、10万以上の WooCommerce オンラインストアに対する、不正なデータ侵害が生じる恐れがある。
この脆弱性は、’woof_author’ パラメータに対する、ユーザー入力のサニタイズが不十分であることに起因しており、プラグインのデータベース・インタラクションにおいて、脅威アクターによる不正な SQL クエリ注入が可能になるという。この種の攻撃は SQL インジェクションとして知られており、これを悪用する攻撃者は、機密情報を窃取/データの改ざんに加えて、基礎となるデータベースの制御を完全に奪取することもある。
この脆弱性の、潜在的な影響は深刻である。攻撃者により窃取されるデータとしては、個人を特定できる情報 (PII)/支払いカードの詳細/ログイン認証情報などの顧客情報が挙げられる。さらた、商品情報および Web サイトの改ざんや、オンラインストアの運営妨害などが生じる恐れもある。
HUSKY – Products Filter Professional for WooCommerce のバージョン 1.3.6 以下を使用しているオンラインストアは、すでに危険にさらされている。このプラグインの人気と広範なユーザー・ベースを考えると、WooCommerce エコシステムの大部分に重大な脅威がもたらされると思われる。
すでに HUSKY の開発者は、パッチ・バージョン 1.3.6.1 をリリースし、脆弱性 CVE-2024-6457 に対処している。すべてのストア・オーナーに対して強く推奨されるのは、このパッチが適用されたリリースへと直ちにアップデートすることだ。
WooCommerce 用の Products Filter プラグイン HUSKY に脆弱性とのことです。ちなみに、HUSKY という名前は、ハスキー犬のスペルと同じなので、なんらかの由来があって、この名前になっているのでしょう。SQL インジェクションなので、悪用されると甚大な被害にいたる恐れがあります。ご利用のショップは、十分に ご注意ください。よろしければ、WooCommerce で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.