CVE-2024-8353 (CVSS 10): Critical GiveWP Flaw, 100k WordPress Sites at Risk
2024/09/29 SecurityOnline — WordPress 用のドネーション・プラグインである GiveWP に、深刻な脆弱性 CVE-2024-8353 (CVSS:10.0) が発見された。この脆弱性は、リモート・コード実行につながる可能性のある、PHP オブジェクト・インジェクションに起因するものであり、悪用に成功した攻撃者は認証を必要とすることなく、影響を受けるWeb サイトを完全に制御できる可能性を手にする。
脆弱性 CVE-2024-8353 は、信頼されていない入力の不適切な処理に起因する。具体的に言うと、give_title/card_address などの、いくつかのパラメータのデシリアライズ中に発生する、PHP オブジェクト・インジェクションの脆弱性と分類されている。この脆弱性により、認証されていない攻撃者は、システムへの悪意の PHP オブジェクトの注入が可能になる。さらに、POP (Property Oriented Programming) チェーンが存在することで、この脆弱性の悪用に成功した攻撃者は、任意のファイル削除を達成し、標的の Web サイト上でリモート・コード実行を可能にする。
この脆弱性は、GiveWP の別の RCE 脆弱性 CVE-2024-5932 と類似するものだが、1つの明確な違いがある。それは、user_info で stripslashes_deep を使用すると、is_serialized チェックが回避され、攻撃者によるデシリアライズ処理の悪用が可能になる点だ。バージョン 3.16.1 では部分的なパッチが適用されたが、さらなる強化がバージョン 3.16.2 で行われ、この脆弱性が完全に緩和された。
脆弱性 CVE-2024-8353 は、GiveWP バージョン 3.16.1 以下に影響を及ぼす。このプラグインは、100,000 件以上のアクティブなインストールを誇っており、GiveWP を資金調達活動に利用している多数の WordPress Web サイトにとって、重大なセキュリティ・リスクとなる。
このリスクを軽減する最も効果的な方法は、早急に GiveWP バージョン 3.16.2 以降に更新することである。このリリースには、脆弱性 CVE-2024-8353 を修正するパッチが取り込まれており、悪用リスクの軽減が達成されている。さらに、ログの監視を行うことで、デシリアライゼーション・エラーや説明のつかないファイル削除などの、不審なアクティビティをチェックする必要がある。また、Web Application Firewall (WAF)/IDS (intrusion detection systems) などのセキュリティ・レイヤーを追加することで、将来における脆弱性のリスクも軽減できる。
WordPress のドネーション・プラグイン GiveWP に深刻な脆弱性です。数多くの非営利 Web サイトが、このプラグインを使っているはずなので、被害の拡大が心配です。このプラグインに関しては、2024/08/20 の「WordPress GiveWP の脆弱性 CVE-2024-5932 (CVSS 10.0) が FIX:10万以上のサイトが危険な状態に!」という記事もあります。よろしければ、WordPress で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.