CVE-2024-10571 (CVSS 9.8): Critical Flaw in WordPress Chart Plugin Under Active Attack
2024/11/14 SecurityOnline — WordPress Chart Plugin に存在する脆弱性 CVE-2024-10571 (CVSS 9.8) が、攻撃者により積極的に悪用されていることが判明した。この 2,000 件以上のアクティブなインストール数を誇るプラグインは、認証されていないローカル・ファイル・インクルードに対して脆弱であり、影響を受ける Web サイト上での悪意のコード実行を、攻撃者に許す可能性が生じる。
CVE-2024-10571:認証されていないローカル・ファイル・インクルードの脆弱性
悪用が確認された脆弱性 CVE-2024-10571 は、バージョン 2.9.5 以下の、すべての Chartify plugin に影響を与える。この脆弱性は、source パラメータの不適切な処理に起因するものであり、それを悪用する攻撃者は、任意のファイル注入および、悪意の PHP コード実行を可能にする。
WordPressのセキュリティ対策を専門とする Wordfence の警告は、「安全だとされる画像などのファイル形式のアップロードとインクルードが可能な場合において、この脆弱性が悪用されると、アクセス制御の回避や、機密データの入手に加えて、コード実行にいたる恐れがある」といものだ。
広範囲にわたる悪用が進行中
実環境で活発に悪用されていることで、この脆弱性の深刻さが高まっている。Wordfence は、「過去 24時間に、この脆弱性を狙った 2,207,540件もの攻撃が発生した」と報告している。これは、攻撃者による脆弱な Web サイトを狙ったキャンペーンが、広範囲にわたることを裏付けるものである。
緊急対応:今すぐアップデートを!
Chartify plugin を使用している Web サイト管理者は、この脅威を軽減するために、直ちに対策を講じる必要がある。推奨される解決策は、パッチ適用済みであるバージョン2.9.6 以降へと、可能な限り早急にアップデートすることだ。
WordPress サイトを保護するために
このインシデントが改めて認識させるのは、WordPress サイトに対する、積極的なセキュリティ対策の重要性である。Web サイトを保護するために必要な手順を、以下に記す。
- プラグインとテーマを常に最新の状態に保つ:すべてのプラグインとテーマのバージョンを、定期的に最新のものへと更新し、セキュリティ上の脆弱性を修正する。
- WAF (Web Application Firewall) を導入する:WAF は、悪意のトラフィックをブロックし、Web サイトへの攻撃を防ぐのに役立つ。
- 強力なパスワードと二要素認証を導入する:WordPress の管理アカウントに対する、強力なパスワードの適用と、二要素認証の有効化により、保護のレイヤーを追加する。
- Web サイトを定期的にバックアップする:Web サイトのファイルとデータベースの定期的なバックアップを作成し、侵害が発生した場合にのために、迅速に復旧できるようにする。
これらの予防措置を講じることで、WordPress の脆弱性を狙う攻撃によるリスクを大幅に軽減し、また、攻撃されたときのレジリエンスを確保すべきだ。
WordPress Chart Plugin に存在する脆弱性が FIX しました。インストール数は 2,000 件とのことですが、洗練された UI を提供するサイトなどで、採用されていそうな感じがします。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.