Critical Flaws Discovered in Jupiter X Core WordPress Plugin Affecting Over 90,000 Sites
2024/09/26 SecurityOnline — WordPress の Jupiter X Core プラグインに存在し、90,000 を超える Web サイトに影響を及ぼすとされる、2つの深刻な脆弱性がセキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した未認証の攻撃者は、Web サイトの完全に制御や、管理者アカウント乗っ取りの可能性を手にする。
CVE-2024-7772:リモート コード実行への入口
脆弱性 CVE-2024-7772 (CVSS:9.8) は、任意のファイル・アップロードを許してしまう脆弱性である。この脆弱性は、ファイル・タイプの不適切な検証により発生し、悪意のファイルをアップロードする攻撃者に対して、リモート・コード実行を許すことで、脆弱な Web サイトの完全な制御にいたる恐れがある。
CVE-2024-7781:認証バイパスとアカウントの乗っ取り
脆弱性 CVE-2024-7781 は、アカウント乗っ取りにつながる可能性のある、限定的な認証バイパスの脆弱性である。これはソーシャル・ログイン・ウィジェットにおける不適切な認証に起因するものである。ソーシャル・ログイン機能が無効になっている場合であっても、それらのソーシャル・メディア・アカウントを用いる最初のユーザーとして、攻撃者にログインを許す可能性が生じる。
これらの脆弱性は、Geo Void により発見され、Wordfence Bug Bounty Program を通じて開示されたものである。彼は、それらの脆弱性の技術的詳細を公開し、総額で $3,835 の報奨金を獲得している。
Jupiter X Core プラグインの、すべてのユーザーに対して強く推奨されるのは、最新のパッチ・バージョン 4.7.8 を、可能な限り早急に適用することだ。このパッチを怠ると、Web サイトが悪意の攻撃にさらされ、深刻な結果を招く可能性がある。
Jupiter X Core プラグインですが、「Jupiter X テーマに必要なコア機能を提供する。すべての Jupiter X ユーザーは、テーマの全機能を使用するために、このプラグインをインストールしてアクティブ化する必要がある」と、WordPress サイトで紹介されています。このテーマをご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.