CVE-2024-43917 (CVSS 9.3): Unpatched SQLi Flaw in TI WooCommerce Wishlist Threatens 100,000+ Sites
2024/09/27 SecurityOnline — 人気の WordPress プラグインである TI WooCommerce Wishlist に、深刻な脆弱性 CVE-2024-43917 (CVSS:9.8) が発見され、100,000 以上のサイトを危険にさらす可能性が生じている。この脆弱性の悪用に成功した攻撃者は、認証なしで任意の SQL クエリを実行できるようになり、影響を受ける Web サイトを完全な制御する権限を、不正に取得する可能性を手にする。
この脆弱性は、プラグインのコード内に存在する、SQL インジェクションの欠陥に起因する。この脆弱性を悪用する攻撃者は、WordPress サイトのセキュリティ対策を回避しながらデータベースを操作することで、データ漏洩/改ざん/サイト全体の乗っ取りなどの可能性を得る。
TI WooCommerce Wishlist プラグインの最新バージョンである 2.8.2 では、この脆弱性に対する修正が提供されていない。その一方で、 Patchstack の Ananda Dhakal から、この脆弱性に関する技術的な詳細が公開されており、早急な対応の必要性が高まっている。
WordPress サイトで、このプラグインを使用している場合には、直ちにプラグインを無効化し、削除することが強く推奨される。修正版がリリースされない状況で、このプラグインの使用を継続すると、データベースの侵害や、機密情報へのアクセスなどの、重大なリスクにさらされることになる。
さらに詳しい情報および技術的な見解については、Patchstack の CVE-2024-43917 に関するアドバイザリで確認できる。
WooCommerce の Wishlist というと、Amazon の欲しいものリストみたいなものなのしょうか。たくさんのオンラン・ショップに影響を及ぼすものと思えます。ご利用のサイト/管理者は、ご注意ください。WordPress ですが、つい先日の 2024/09/26 に、「WordPress と WP Engine の対立:セキュリティの問題へと拡大している」という、とても気になる記事がありました。よろしければ、WordPress で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.