Unpatched Vulnerabilities in Fancy Product Designer Plugin Put 20,000+ Websites at Risk
2025/01/09 SecurityOnline — WordPress のプレミアム・プラグインである Fancy Product Designer に、深刻な脆弱性 CVE-2024-51919/CVE-2024-51818 が存在することが、Patchstack のセキュリティ研究者である Rafie Muhammad により発見された。このプラグインは Radykal が開発したものであり、WooCommerce での製品カスタマイズ用に設計され、ユーザーに対して自由なデザインとパーソナライズを提供している。この Fancy Product Designer に、深刻なセキュリティ上の欠陥が発見されたことで、20,000 以上の WordPress サイトがリスクにさらされている。
Fancy Product Designer プラグインに発見された、2つの脆弱性の詳細を以下に記す:
- CVE-2024-51919 (CVSS:9.0):任意のファイル・アップロードの脆弱性
この脆弱性の悪用に成功した未認証の攻撃者は、悪意の PHP ファイルを含む任意のファイルをサーバにアップロードできる。この脆弱性は、save_remote_file および fpd_admin_copy_file 関数に存在するものであり、不適切な入力検証により、これらの関数が悪用されることで、リモートコード実行 (RCE) が許される可能性が生じる。Rafie Muhammad の説明によると、「これらの2つの関数に対するチェックが不適切であるため、追加のファイル・チェック無しに、これらの関数を利用するコードがあれば、任意のファイル・アップロードが可能になる」とのことだ。 - CVE-2024-51818 (CVSS:9.3):SQL インジェクションの脆弱性
この脆弱性により、未認証の攻撃者は、データベース上で任意の SQL クエリを実行する可能性を手にする。この脆弱性の根本原因は、ユーザー入力を適切に無害化できないget_products_sql_attrs 関数にある。Muhammad は、「このケースでは、strip_tags 関数による SQL インジェクションの防止は不可能である。この関数は文字通り、HTML/XML/PHP タグを除去するだけのものだからだ」と述べている。この脆弱性が悪用されると、重大なデータ漏洩やデータベースの不正な変更などにつながる可能性がある。
現時点において、これらの脆弱性は、Fancy Product Designer プラグインの最新バージョン (6.4.3) では修正されていない。したがって、このプラグインを使用している Web サイト管理者への推奨事項は、以下の通りとなる:
- WAF(web application firewalls) を導入し、悪用の試行を検知/阻止する。
- Fancy Product Designer プラグインを直ちに無効化する。
- パッチに関するアップデートに関して、ベンダーの Web サイトや公式チャネルを確認する。
WooCommerce 用に開発された、WordPress の Fancy Product Designer プラグインに深刻な脆弱性ですが、現時点ではパッチ未適用とのことです。したがって、このプラグインの無効化が推奨される事態となっています。ご利用のチームは、ご注意ください。よろしければ、WooCommerce で検索も、ご参照ください
IoT OT Security News 
You must be logged in to post a comment.