2025/03/11 SecurityOnline — 人気の WordPress プラグイン HUSKY (旧 WOOF:WooCommerce Products Filter Professional)に重大な脆弱性が発見され、10 万以上のオンライン・ストアが完全に侵害される危険にさらされている。この脆弱性 CVE-2025-1661 (CVSS:9.8) の悪用に成功した未認証の攻撃者は、影響を受けるサーバ上で任意のファイルを操作し、データ侵害/サイト改竄に加えて、システムを完全に制御する可能性を得る。
このプラグインは、WooCommerce の製品フィルタリング強化のために設計されているが、バージョン 1.3.6.5 以下においては、LFI (Local File Inclusion) の脆弱性に悩まされている。この重大な欠陥は、”woof_text_search” AJAX アクションの “template” パラメータ内に存在し、悪意の攻撃者に対して、サーバ上での任意の PHP コードを挿入/実行を許してしまう。
公式の脆弱性開示には、「それにより、未認証の攻撃者は、サーバでの任意のファイルの操作を達成するため、それらのファイル内の任意の PHP コードの実行も可能になる。つまり、ログインしていなくても、この欠陥を悪用する攻撃者は、セキュリティ対策を回避し、機密情報にアクセスするだけではなく、悪意のコード実行も可能にする」と記されている。
この脆弱性 CVE-2025-1661 の潜在的な影響は重大であり、悪用に成功した攻撃者は、以下の悪意のアクティビティを実行できる:
- 顧客の機密データの窃取:名前/住所/支払情報/注文履歴など。
- 悪意のコードの挿入:サイトの改竄/フィッシング・サイトへのリダイレクトに加えて、永続的なアクセスのためのバックドアのインストールにつながる。
- サーバーの完全な制御の取得:悪意のコードが埋め込まれたイメージなどの、安全に見えるファイル・タイプを、攻撃者はアップロードできる。
この重大な脆弱性を発見/報告したのは、セキュリティ研究者の Hiroho Shimada だとされている。
影響を受ける Web サイトの数は膨大であり、アクティブなインストール数は 100,000 を超えているため、この欠陥の修正は急がれる。オンライン・ストアの所有者に対して強く推奨されるのは、この脆弱性の修正を取り込んだバージョン 1.3.6.6 へと、速やかに HUSKY プラグインを更新することだ。
このブログでは3月に入って3件目となる、WordPress プラグインの脆弱性です。WordPress などの CMS は、コーディングなどの専門的な知識がなくてもサイトを作成できる便利なツールである一方で、攻撃者の標的になりやすいという側面もあります。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、以下の関連記事も、WordPress で検索と併せて、ご参照下さい。
2025/03/05:WordPress Chaty Pro の CVE-2025-26776 が FIX
2025/03/04:WordPress GiveWP の脆弱性 CVE-2025-0912 が FIX
IoT OT Security News 
You must be logged in to post a comment.