CVE-2024-9488 (CVSS 9.8): Authentication Bypass Flaw in wpDiscuz Plugin, Over 80,000 Sites at Risk
2024/10/26 SecurityOnline — 80,000以上のアクティブなインストール数を持つ、人気の WordPress wpDiscuz plugin に、深刻な認証バイパスの脆弱性 CVE-2024-9488 (CVSS:9.8) が発見された。この脆弱性は、認証されていない攻撃者に、ユーザー・アカウントの乗っ取りを許すものであり、その対象には管理者権限を持つ者も含まれる。
wpDiscuz は、インタラクティブなコメント機能とユーザー・エンゲージメント・ツールで知られており、多くの WordPress サイトに導入されている。しかし、新たに発見された脆弱性により、その人気に影が差しつつある。この脆弱性は、ソーシャル・ログイン・プロセスにおける、ユーザー ID の検証が不十分であることに起因する。ユーザーのメールアドレスを手にした攻撃者は、この脆弱性の悪用が可能になり、そのアカウントに不正アクセスをする可能性を手にする。
CVE-2024-9488 の影響は深刻である。この脆弱性の悪用に成功した攻撃者は、サイトの管理機能に対する完全なアクセス権を取得し、コンテンツの改ざん/悪意のプラグインのインストール/正規ユーザーの締め出しなどを可能にするという。wpDiscuz のエンゲージメント向上機能には、突然にして、データ盗難/コンテンツ操作などの、サイバー犯罪の手段となる可能性が含まれるということだ。
すでに開発者は、wpDiscuz バージョン 7.6.25 をリリースし、この脆弱性に対応している。wpDiscuz を利用している、すべての Web サイトにおいて、早急な対応が必要である。サイト管理者に強く推奨されるのは、このバージョンへと直ちに更新することである。
WordPress のサイト所有者は、プラグインの更新だけでなく、以下の対応も検討すべきだ:
- 定期的なセキュリティ監査:定期的なセキュリティ監査と脆弱性スキャンを実施し、潜在的な脆弱性を特定して対処する。
- パスワードの見直し:特にソーシャル・ログインを使用している場合は、ユーザーにパスワードの変更を促す。
- 二要素認証 (2FA) の導入:2FA を導入することで、ユーザー・アカウントに、セキュリティの追加レイヤーを追加する。
このブログには、かなりの数の WordPress プラグインに関する情報がありますが、この wpDiscuz は初登場となります。とは言え、80,000以上のアクティブなインストール数を持つとされていますので、ご利用のチームも多いはずです。脆弱性 CVE-2024-9488 (CVSS:9.8) に ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.