CVE-2024-12562: Critical s2Member Pro Flaw Leaves Millions of WordPress Sites Vulnerable
2025/02/17 SecurityOnline — WordPress の人気プラグイン s2Member Pro に、深刻なセキュリティ脆弱性が発見され、数百万の Web サイトに影響が及ぶ可能性があるという。この脆弱性 CVE-2024-12562 (CVSS:9.8) の悪用に成功した未認証の攻撃者には、脆弱なサイトへの悪意の PHP オブジェクト・インジェクションが許される可能性が生じる。
s2Member Pro はメンバーシップのためのプラグインであり、Web サイトの所有者によるサブスクリプションの販売や、コンテンツへのアクセス制限、デジタル・ダウンロードの管理などの利用されるものだ。そのダウンロード数が、160 万回を超えるほど、このプラグインは広く利用されているため、脆弱性 CVE-2024-12562 は重大な懸念事項となっている。
この脆弱性は、プラグインのユーザー入力に対する処理に原因があり、具体的には s2member_pro_remote_op パラメータの不適切なサニタイズに起因する。それにより、攻撃者は PHP オブジェクト・インジェクションの脆弱性の悪用が可能となり、Web サイトの制御を奪う恐れが生じる。
この脆弱性自体は、攻撃者に対して、コード実行の手段を提供するものではないが、標的となる Web サイトにインストールされている、テーマやプラグインの他の脆弱性との連鎖の可能性がある。それにより、任意のファイル削除/機密データの窃取/リモートコード実行などの深刻な結果へとつながる可能性が生じる。
この脆弱性は、WordPressセキュリティ企業である Wordfence の Istvan Marton によって発見され、報告されたものだ。すでに s2Member 開発チームは、バージョン 250214 のパッチをリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、このプラグインを、速やかに最新バージョンへと更新することだ。
繰り返しになるが、s2Member Pro を使用している Web サイトの所有者は、悪用のリスクを軽減するために、可能な限り早急にプラグインを更新すべきである。さらに、すべてのテーマとプラグインを最新の状態に保ち、Web サイトのデータを定期的にバックアップすることが重要となる。
WordPress s2Member Pro に、CVSS 値が 9.8 の脆弱性です。そのダウンロード数は 160 万回を超えるとのことですので、ご利用のチームも多いはずです。アップデートを忘れないよう、お気をつけください。よろしければ、WordPress で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.