CVE-2024-10470 (CVSS 9.8) in Popular WordPress Theme Exposes Thousands of Sites
2024/11/08: SecurityOnline — オンライン・コース管理で広く使用される WordPress のプレミアム・テーマ WPLMS に、任意のファイル読取/削除を許してしまう深刻な脆弱性が発見された。Wordfence のセキュリティ研究者である Istvan Marton によると、この脆弱性 CVE-2024-10470 (CVSS:9.8) は、認証されていない攻撃者に対して機密ファイルの読取/削除を許すものであるが、その中には 重要な wp-config.php ファイルも含まれるという。
28,000件以上のインストール実績を誇る WPLMS は、eラーニングのニーズに合わせた設計となっており、コース/クイズ/証明書などをサポートする機能豊富なテーマである。しかし、WPLMS のコードには深刻な欠陥が存在し、攻撃者による envato-setup-export.php ファイルの悪用が可能であることが、Istvan Marton の分析により明らかになった。Marton は、「このコードには機能チェックが含まれておらず、直接的なファイル・アクセスを防ぐものも存在しない」と説明している。この脆弱性は、WPLMS テーマがアクティブな状態ではなく、単にインストールされている場合であっても、悪用が可能だとされる。
この問題の根本は、無効化されていない zip_file パラメータにある。このパラメータを悪用する攻撃者は、サーバ上の任意のファイルの指定が可能となり、脆弱なコードによる対象ファイルの読込/削除へといたる。Marton は、「それらのファイルの内容は readfile() 関数で読み込まれ、ダウンロードされた後に、unlink() 関数で直ちに削除される」と指摘している。この一連の動作により、WPLMS サイトは無防備な状態となり、ユーザーがアップロードしたコンテンツから wp-config.php にいたるまで、攻撃者による読取/削除が可能となる。
この脆弱性は、あらゆるファイルに対する不正なアクセスや削除を可能にするだけではなく、サイト全体を乗っ取る手段にもなり得る。攻撃者は、wp-config.php ファイルを削除することで、脆弱な Web サイトをセットアップ・モードへと強制的に移行させる。Marton によると、「wp-config.php を削除すると、サイトはセットアップ状態に強制的に移行され、攻撃者は管理下にあるデータベースに接続することで、サイトの乗っ取りを開始できるようになる」という。それにより、ユーザーのデータや Web サイトコンテンツが、深刻な危険にさらされることになる。
この脆弱性 CVE-2024-10470 は、Wordfence のバグ報奨金プログラムを通じて、サイバーセキュリティ研究者 Foxyyy により報告されたものであり、彼には $900 の報奨金が支払われたという。すでに、この脆弱性は、WPLMS の最新パッチ適用済みバージョンである、バージョン 4.963 で修正されている。Wordfence は WPLMS の全ユーザーに対して、サイトを直ちに更新するよう勧告している。
WordPress テーマ WPLMS の脆弱性 CVE-2024-10470 ですが、このテーマがインストールされていれば、アクティブ化されていなくても、問題が生じるとのことです。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.