CVE-2024-43240 & CVE-2024-43242 in Ultimate Membership Pro Plugin Put 40,000 Websites at Risk
2024/10/17 SecurityOnline — 会員制のサブスクリプション管理に広く利用されている、WordPress プラグイン Ultimate Membership Pro に2つの重大な脆弱性が存在することが、Patchstack のセキュリティ研究者の Rafie Muhammad (Patchstack) により発見された。このプラグインは、有料コンテンツを提供する Web サイトで広く利用され、これまでに約4万回も販売されている。
CVE-2024-43240 (CVSS 9.4):認証されていない特権の昇格
認証を持たないユーザーであっても、任意の会員レベルでの登録を達成し、そのレベルに紐づく特権を獲得できる。Patchstack の説明は、「ユーザーが提供する $postData[‘lid’] が、カスタム会員レベルを取り込んでいる、$levelData 変数内に構築される」というものだ。したがって攻撃者は、$levelData[‘custom_role_level’] 変数を通じて、より高い権限への不正アクセスが可能になる。このプラグインのデフォルト設定では、管理者レベルのアクセスは許可されないが、高権限またはカスタム・ロールへのアクセスが可能であるため、攻撃者による Web サイトへの脅威は、きわめて高いものとなる。
CVE-2024-43242 (CVSS 9.0):認証されていない PHP オブジェクトのインジェクション
この脆弱性が発生するのは、ユーザーから入力されるデータが、デシリアライゼーション・プロセスに渡される前に適切に無害化されていない場合である。PHP はオブジェクトのシリアライズを許可しているため、アプリケーションのスコープに対して、未認証のユーザーが悪意のオブジェクトを注入し、任意のコード実行を達成するという恐れが生じる。Muhammad の分析によると、この問題は “ihc_ajax_stripe_connect_generate_payment_intent” や “checkCookies” といった、プラグイン内の複数の機能に影響を与えるという。
これら2つの脆弱性の悪用に成功した攻撃者は、Web サイト全体の侵害が可能になる。
具体的に言うと、特権昇格の脆弱性の悪用に成功した攻撃者は、Web サイトの機密エリアに不正アクセスし、セキュリティを侵害してダメージを与える可能性を手にする。その一方で、オブジェクト・インジェクションの脆弱性の悪用に成功した攻撃者は、Web サイトのバックエンドを操作し、データ窃取や、悪意のコード実行の可能性を得る。数多くのプレミアム会員制サイトにおいて、このプラグインは広く使用されているため、これらの脆弱性が放置されると、 Web サイトに影響が及ぶ可能性が生じる。
Ultimate Membership Pro plugin のユーザーにとって重要なことは、可能な限り早急にバージョン 16.8 へと更新し、これらの深刻な脆弱性によるリスクを軽減することである。さらに、Web サイト管理者が確認すべきは、セキュリティ設定の見直、および、承認されていないロールの許可、Web サイト全体での入力検証の実施などである。
WordPress の Ultimate Membership で発見された2件の脆弱性が FIX しました。どちらも、深刻度を示す CVSS 値が高いので、ご利用のチームは、ご注意ください。このプラグインに関連する直近の記事は、2024/02/25 の「WordPress Ultimate Member Plugin の脆弱性 CVE-2024-1071 が FIX:直ちにアップデートを!」です。よろしければ、WordPress で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.