CVE-2024-9636: Popular WordPress Plugin ComboBlocks Exposes Thousands of Sites to Complete Takeover
2025/01/16 SecurityOnline — WordPress のプラグインである ComboBlocks (旧 Post Grid) に、深刻な脆弱性 CVE-2024-9636 (CVSS:9.8) が発見された。Web サイトのデザインと機能を強化するプラグインとして人気の ComboBlocks を使用している、4万以上の Web サイトが、この脆弱性による完全な乗っ取りの危険に晒されている。この脆弱性の悪用に成功した未認証の攻撃者は、管理者としてアカウントを登録し、影響を受ける Web サイトを完全に制御する可能性を手にする。
この脆弱性の原因は、登録プロセスにおける不適切なユーザー・メタ処理にある。この欠陥を悪用する攻撃者は、ユーザー・データを操作し、権限を最高レベルへと昇格させることが可能となる。
どのような影響が考えられるか?
- Web サイトの乗っ取り:この脆弱性を悪用することで、完全な管理アクセス権限を得た攻撃者は、コンテンツの改ざん/機密データの窃取/マルウェアのインストール/Web サイトの改ざんなどの可能性を得る。
- データ漏洩:個人情報やログイン認証情報などの、ユーザー情報が漏洩する可能性が生じる。
- SEO スパム:悪意のコードを挿入する攻撃者は、検索エンジンのランキング操作や、フィッシング・サイトへの訪問者のリダイレクトなどを可能にする。
リスクにさらされるのは誰か?
脆弱性 CVE-2024-9636 が影響を及ぼすのは、ComboBlocks (旧 Post Grid/Gutenberg Blocks) バージョン 2.2.85〜2.3.3 を使用している、すべての Web サイトである。ComboBlocks は 40,000件以上のアクティブなインストールがあることから、この影響は広範に及ぶと考えられる。
ユーザーに推奨されること
ComboBlocks を使用している Web サイト所有者に推奨されるのは、脆弱性 CVE-2024-9636 が修正された最新バージョン (2.3.4) へと、直ちに更新することである。
ComboBlocks の脆弱性が FIX しました。インストール数が4万というと、それほどの規模ではないのかもしれません。その他の人気のプラグインと比較すると、そんなふうに感じてしまいますが、これはこれで、たいへんな規模のインストール・ベースです。ご利用のチームも多いと思います。ご注意ください。よろしければ、WordPress Plugin で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.