2025/01/21 SecurityOnline — 世界中で 8,743以上の販売実績を誇る、WordPress のプレミアム広告テーマ AdForest に、深刻な脆弱性 CVE-2024-12857 (CVSS 9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、認証メカニズムを完全バイパスする可能性を手にする。
AdForest の 5.1.8 以下に影響を及ぼす脆弱性 CVE-2024-12857 は、Wordfence のセキュリティ研究者である Chloe Chamberland により発見された。この脆弱性の根本原因は、電話番号による OTP (One-Time Password) ログインを使用する際の、ユーザーに対する不適切な身元確認にある。
この欠陥により、未認証の攻撃者は実際の OTP を使用することなく、管理者などのユーザーとしてログインし、WordPress サイトを完全に制御する可能性を手にする。脆弱性 CVE-2024-12857 の悪用に成功した攻撃者は、以下のような悪意のアクションを実行できるという:
- サイトの完全な侵害:コンテンツの変更/悪意のコードを注入/機密データの窃取など。
- 管理者の不正使用: 管理者権限での新規アカウントの作成や、正規ユーザーの締め出しなど。
- フィッシング・キャンペーン: 侵害したサイトを悪用した、フィッシング・ページやマルウェアの展開。
すでに AdForest の開発者は、バージョン 5.1.9 をリリースし、この脆弱性に対処している。ユーザーに推奨されるのは、この最新バージョンへと、速やかにアップデートすることだ。
WordPress 関連の脆弱性というと、その大半がプラグインになりますが、テーマに関するものも増えているようです。この AdForest の販売件数は、それほど多くありませんが、国内にもユーザーはいると思います。ご利用のチームは、ご注意ください。よろしければ、WordPress + Theme で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.