2024/09/25 SecurityOnline — 人気の WordPress プラグインである The Events Calendar に、深刻なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-8275 (CVSS:9.8) は、バージョン 6.6.4 以下に影響を及ぼすものだ。Events Calendar plugin は、WordPress サイト上でのイベント・カレンダーの容易な作成/管理を実現するものであり、70万以上のアクティブ・インストール数を誇っている。このプラグインは、オンラインおよび F2F のイベントをサポートしており、また、プロフェッショナル向けの広範な機能を提供している。
脆弱性 CVE-2024-8275 は、tribe_has_next_event() 関数に存在し、'order' パラメータに関する不十分な入力エスケープと、既存 SQL クエリに関する不適切な準備に起因する。この欠陥により、認証されていない攻撃者に対して、悪意の SQL クエリの付加が許されるため、SQL インジェクション攻撃の可能性が生じる。この脆弱性の悪用に成功した攻撃者は、データベースからの機密情報の抽出が可能となり、サイトの完全性とユーザー・データの安全性に問題が生じることに。
ただし、tribe_has_next_event() 関数を手動で追加したサイトのみが、この SQL インジェクションの脆弱性に対して脆弱であることに注意する必要がある。その一方で、イベント・カレンダーをカスタマイズする開発者たちの間で、この関数が広く使用されていることを考えると、リスクは依然として大きい。
すでに Events Calendar plugin の開発者チームは、最新版をリリースすることで、この脆弱性に対応している。同プラグインの、すべてのユーザー対して強く推奨されるのは、パッチが適用されたバージョン 6.6.4.1 以降へと、ただちに更新することだ。
WordPress プラグインの脆弱性は、毎度おなじみと言うか、何と言うか、、、そんな感じですね。小さな規模からスタートした、それぞれのベンダーたちは、急加速していくマーケットに付いていくだけで精一杯で、出荷前のテストなどが追いつかないという状況なのでしょう。せっかく得たビジネスですので、頑張ってほしいと思います。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.