CVE-2024-8672 (CVSS 9.9): Critical Flaw in Widget Options Plugin Threatens 100,000+ Websites
2024/11/30 SecurityOnline — 100,000 以上のアクティブなインストール数を誇る WordPress Widget Options plugin に、深刻な脆弱性 CVE-2024-8672 (CVSSv3:9.9) が発見されたが、最新バージョン (4.0.8) で修正された。この脆弱性により、 Widget Options plugin を利用する Web サイトに、深刻な脅威の可能性が生じている。この脆弱性の悪用に成功した、コントリビューター以上のアクセス権限を持つ攻撃者は、標的サーバ上で任意のコード実行の可能性を得る。
脆弱性 CVE-2024-8672 の詳細
複数のページ・ビルダーを拡張するためのプラグインである、Widget Options の display logic 機能に、脆弱性 CVE-2024-8672 は存在する。この機能を悪用する攻撃者は、適切なフィルタリングや機能チェックを回避しながら、入力したデータを eval() 関数に受け渡すことが可能になる。つまり、認証を得た攻撃者は、任意のコードの注入/実行を可能にするとされる。
研究者の提言が却下された:
この脆弱性の発見/報告者であるセキュリティ研究者の Webbernaut が、プラグイン開発者に対して推奨するのは、許可された機能のホワイト・リストを実装し、コマンドの実行を管理者だけに制限することだ。しかし、残念なことに、今回のパッチでは、これらの推奨事項が完全に反映されることはなかった。
パッチと残存リスク:
脆弱性 CVE-2024-8672 は、最新のバージョン 4.0.8 で修正されている。しかし、セキュリティ専門家たちが警告するのは、現在のパッチが完全に安全とは言い切れない点である。この脆弱性を解消する手段によっては、Web サイトにリスクが残存する可能性がある。
ユーザーへの推奨事項
Widget Options plugin の全てのユーザーに推奨されるのは、直ちにバージョン 4.0.8 へアップデートすることだ。さらに、引き続き警戒を怠らず、サイト上での不審な動きについて監視する必要がある。
WordPress では、さまざまなウィジェットが使われていますので、この Widget Options に頼るケースも多いのだろうと思います。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.