Plugin – IoT OT Security News

WordPress Email Subscribers の脆弱性 CVE-2024-2876 が FIX：ただちにアップデートを！

CVE-2024-2876: Critical Security Flaw Impacts Popular WordPress Email Marketing Plugin

2024/04/15 SecurityOnline — 人気の WordPress プラグインである Email Subscribers by Icegram Express に、深刻なセキュリティ脆弱性 CVE-2024-2876 (CVSS：9.8) が発見された。このプラグインの脆弱性の悪用に成功した、認証されていない攻撃者は、WordPress サイトに悪意のコードを注入する可能性を持つ。

WordPress LayerSlider Plugin の脆弱性 CVE-2024-2879 が FIX：CVSS 値は 9.8

Critical Security Flaw Found in Popular LayerSlider WordPress Plugin

2024/04/03 TheHackerNews — WordPress の LayerSlider plugin に、致命的なセキュリティ脆弱性 CVE-2024-2879 (CVSS：9.8) が発見された。この脆弱性は SQL インジェクションと分類されており、7.9.11〜7.10.0 までのバージョンに影響を与える。この脆弱性の悪用に成功した攻撃者は、データベースからパスワード・ハッシュなどの機密情報を抜き取る可能性がある。

WordPress File Manager プラグインの脆弱性 CVE-2024-1538 が FIX：影響は 100万サイトに及ぶ

CVE-2024-1538: Critical WordPress Plugin Flaw Exposes Over 1 Million Sites – Patch Immediately!

2024/03/25 SecurityOnline — WordPress 用 File Manager プラグインに、深刻なセキュリティ脆弱性 CVE-2024-1538 (CVSS：8.8) が発見された。このプラグインは、100万以上のアクティブなインストール数を誇るものであり、WordPress ダッシュボード内で Web サイトの管理者が、ファイルやフォルダをダイレクトに管理するために用いられている。

WordPress Automatic plugin の２つの脆弱性が FIX：40,000 以上のサイトが危険に晒されている

40,000+ Sites Exposed: WordPress Plugin Update Critical – CVE-2024-27956 & CVE-2024-27954

2024/03/19 SecurityOnline — 3月19日に Patchstack が公開したセキュリティ・アドバイザリによると、WordPress の Automatic プラグイン (プレミアム版) に、２つの危険な脆弱性 CVE-2024-27956／CVE-2024-27954 が発見されたとのことだ。WordPress サイトでのコンテンツ・インポートの自動化に用いられる同プラグインは、40,000 以上のアクティブなインストールがあるため、リスクは広範かつ差し迫ったものである。

WordPress miniOrange プラグインの脆弱性 CVE-2024-2172 が FIX：サイトの侵害が生じる恐れ

WordPress Admins Urged to Remove miniOrange Plugins Due to Critical Flaw

2024/03/18 TheHackerNews — WordPress プラグインである、miniOrange の Malware Scanner と Web Application Firewall に、深刻なセキュリティ欠陥が発見された。ユーザーに求められるのは、これらのプラグインを Web サイトから削除することだ。Stiofan により発見された、この脆弱性 CVE-2024-2172 は、CVSS スコア 9.8 と評価されている。

WordPress Ultimate Member Plugin の脆弱性が FIX：200,000 以上のサイトが攻撃に晒される

WordPress Plugin Flaw Exposes 200,000+ Websites To XSS Attacks

2024/03/12 GBHackers — WordPress の Ultimate Member Plugin に、XSS (Cross-Site Scripting) 脆弱性 CVE-2024-2123 が発見された。現時点において、200,000 以上の Web サイトが、この脆弱性の脅威に晒されていることが分かった。stealthcopter という研究者により発見された、この脆弱性が浮き彫りにするのは、デジタル・エコシステムにおけるリスクであり、また、Wordfence のような Web を保護するサイバー・セキュリティ企業の重要な役割である。

WordPress Statistics Plugin の脆弱性 CVE-2024-2194 が FIX：60万のサイトが危険な状態

CVE-2024-2194: WP Statistics Flaw Opens 600K+ WordPress Sites to Attack

2024/03/11 SecurityOnline — WordPress セキュリティの権威 Wordfence が警告するのは、広く使用されている WP Statistics プラグインに存在する深刻な脆弱性についてである。この脆弱性 CVE-2024-2194 の悪用に成功した攻撃者は、WordPress Web サイトに悪意のコードをダイレクトに注入することが可能となり、機密データやサイト機能が危険にさらされるという。

WordPress File Manager の脆弱性 CVE-2023-6825 が FIX：ただちにパッチ適用を！

CVE-2023-6825 (CVSS 9.9): Over a WordPress Million Sites Exposed by File Manager Flaw

2024/03/04 SecurityOnline — 人気の WordPress プラグインである File Manager／File Manager Pro に、深刻なセキュリティ脆弱性 CVE-2023-6825 が発見された。このプラグインの、アクティブなインストール数は 100 万件を超えるため、脆弱性へのパッチ適用が放置されると、広範囲に被害が及ぶ可能性がある。

WordPress Ultimate Member Plugin の脆弱性 CVE-2024-1071 が FIX：直ちにアップデートを！

WordPress Ultimate Member Plugin Under Active Attack: Critical Flaw (CVE-2024-1071) Impacts 200k Sites

2024/02/25 SecurityOnline — 200,000 以上のアクティブなインストールを誇る、人気の WordPress プラグイン Ultimate Member に、認証を必要としない SQL インジェクションの脆弱性が見つかった。この深刻な脆弱性 CVE-2024-1071 (CVSS：9.8) には、広く採用されている同プラグインを利用している Web サイトに、重大なリスクをもたらす可能性がある。この脆弱性を発見／報告した Christiaan Swiers には、Wordfence Bug Bounty Program Extravaganza から $2,063 の報奨金が支払われた。

WordPress Shield Security プラグインの脆弱性 CVE-2023-6989：５万件以上のサイトに LFI の危機

CVE-2023-6989: Shield Security Plugin Hit by Severe LFI Vulnerability, 50,000+ Sites Affect

2024/02/05 SecurityOnline — 50,000 以上のアクティブなインストールを誇る WordPress プラグイン Shield Security に、深刻な脆弱性が発見された。この脆弱性は、Wordfence バグ・バウンティ・プログラムを介して、研究者である hir0ot により発見された。

WordPress の Cookie Information | Free GDPR プラグインに脆弱性：活発な悪用を観測

Under Attack: CVE-2023-6700 in ‘Cookie Information’ Plugin Threatens 100k WordPress Sites

2024/02/02 SecurityOnline — 進化し続けるインターネットの世界において、データ・プライバシーと GDPR (General Data Protection Regulation) などの規制へのコンプライアンスの重要性は、日々高まりつつある。そんな中、人気の CMS の１つである WordPress は、これらの規制を遵守するのを支援するプラグインを、Web サイト所有者に対して数多く提供している。しかし、WordPress の Cookie Information | Free GDPR Consent Solution プラグインに、重大なセキュリティ脆弱性 CVE-2023-6700 が発見され、脅威アクターにより積極的に悪用されていることが判明した。

WordPress の SeedProd Plugin に脆弱性 CVE-2024-1072：90万サイトで利用

CVE-2024-1072: Critical Flaw in SeedProd Plugin Exposes 900K WordPress Sites

2024/02/01 SecurityOnline — WordPress の人気プラグイン Website Builder by SeedProd に、深刻な脆弱性が判明したが、そのインストール数は 90 万を超えるという。Website Builder by SeedProd は、Web サイトの作成とカスタマイズのプロセスを簡素化するために設計された、強力で使いやすい WordPress プラグインだ。SeedProd は、ドラッグ・アンド・ドロップ機能を提供しており、コードを記述することなく簡単にカスタム Web サイトを設計／構築できるため、WordPress ユーザーの間で高い人気を誇っている。

WordPress AI Engine プラグインの脆弱性 CVE-2023-51409 が FIX：RCE にいたる恐れ

CVE-2023-51409: The Severe Vulnerability Threatening 50,000 WordPress Sites

2024/01/09 SecurityOnline — AI Engine プラグインは、50,000 以上のアクティブなインストールを持つ人気の WordPress プラグインだが、先日に深刻なセキュリティ脆弱性が発見された。この、認証を必要としない任意のファイル・アップロードを許してしまう、脆弱性 CVE-2023-51409 により、このプラグインを使用している Web サイトに深刻なリスクが生じている。

WordPress の Backup Migration プラグインに脆弱性：５万件のサイトに RCE の危機

50K WordPress sites exposed to RCE attacks by critical bug in backup plugin

2023/12/11 BleepingComputer — WordPress に 90,000以上もインストールされているプラグインで、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者が、リモート・コードを実行し、脆弱な Web サイトを完全に侵害する可能性があるという。この、Backup Migration というプラグインは、ローカル・ストレージまたは Google Drive アカウントへ向けた、管理者によるサイト・バックアップを自動化するものだ。脆弱性 CVE-2023-6553 (CVSS：9.8) は、Nex チームとして知られるバグハンターのチームにより発見され、バグバウンティ・プログラムの下で Wordfence に報告された。

Jenkins Plugin の深刻な脆弱性 CVE-2023-40336 などが FIX

Jenkins Patches High-Severity Vulnerabilities in Multiple Plugins

2023/08/18 SecurityWeek — OSS ソフトウェア開発自動化サーバである Jenkins が、今週に発表したのは、複数のプラグインに影響する High／Medium レベルの脆弱性に対するパッチである。今回のパッチが対応するのは、３つのプラグインである Folders／Flaky Test Handler／Shortcut Job に存在する、クロス・サイト・リクエスト・フォージェリ (CSRF) と、クロス・サイト・スクリプティング (XSS) の脆弱性である。

Atlassian Jira の Stagil プラグインにおける２つの脆弱性：悪用する攻撃者が観測されている

Two Jira Plugin Vulnerabilities in Attacker Crosshairs

2023/07/19 SecurityWeek — Atlassian Jira のプラグインである、”Stagil navigation for Jira – Menus & Themes” における２つのパストラバーサル脆弱性を悪用する攻撃者がいるらしいと、SANS Internet Storm Center が警告している。このプラグインは、Atlassian のマーケット・プレイスを通じて配布され、Jira インスタンスをナビゲータ／サブメニューなどを要素で、カスタマイズすることを可能にするものだ。2023年2月に公開された、脆弱性 CVE-2023-26255／CVE-2023-26256 の深刻度は High であり、プラグインのバージョン 2.0.52 で対処されている。

WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性：WordFence はアンインストールを推奨

Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs

2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル／メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。

WordPress の Social Login Plugin に深刻な脆弱性：30,000 以上のサイトでパッチが必要！

Critical Security Flaw in Social Login Plugin for WordPress Exposes Users’ Accounts

2023/06/29 TheHackerNews — miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在する。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明した。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS：9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼす。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされた。

WordPress Plugin の深刻な脆弱性が FIX：脆弱なオンライン販売サイトが数万件

Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites

2023/06/21 SecurityWeek — WordPress の２つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。１つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS：9.8) であり、すでに３万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。

WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX

WordPress Stripe payment plugin bug leaks customer order details

2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のＥコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa／MasterCard／American Express／Apple Pay／Google Pay などによる決済が可能になる。

WordPress の Jetpack プラグインに深刻な脆弱性：２日間で 500万件のパッチが自動配信された

Millions of WordPress Sites Patched Against Critical Jetpack Vulnerability

2023/05/31 SecurityWeek — この数日の間に、約 500万件の WordPress サイトに適用された自動アップデートにより、2012年に発生した深刻な脆弱性が修正された。Automattic 社により管理されている Jetpack は、マルウェア・スキャン／リアルタイム・バックアップと復元、スパムとブルートフォースに対する保護などの、セキュリティ機能を提供する WordPress プラグインである。これらのセキュリティ・ツールは、500万以上のアクティブ・インストールを持つという、このコンテンツ管理システムにおける最も人気のプラグインの１つとなっている。

WordPress の Elementor プラグインの脆弱性が FIX：100 万件の Web サイトに乗っ取りの危険性

WordPress Elementor plugin bug let attackers hijack accounts on 1M sites

2023/05/11 BleepingComputer — WordPress で人気を博している、Essential Addons for Elementor に存在する権限昇格の脆弱性の悪用に成功したリモートの未認証の攻撃者が、サイトの管理者権限を獲得する可能性があることが判明した。Essential Addons for Elementor は、100万以上の WordPress サイトで使用されているページ・ビルダー Elementor 用の、90種類のエクステンションを搭載したライブラリである。2023年5月8日に PatchStack が発見した、この脆弱性 CVE-2023-32243 はプラグインのパスワード・リセット機能における、未認証の攻撃者による権限昇格を可能にするものであり、バージョン 5.4.0〜5.7.1 に影響を及ぼす。

WordPress プラグイン Advanced Custom Fields：XSS 脆弱性 CVE-2023-30777 が FIX

WordPress custom field plugin bug exposes over 1M sites to XSS attacks

2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この２つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。

WordPress プラグイン Eval PHP：スティルス・バックドアに悪用されている

Attackers use abandoned WordPress plugin to backdoor websites

2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。

WordPress プラグイン Elementor Pro に深刻な脆弱性：現時点で 1100万サイトにインストール

Hackers exploit bug in Elementor Pro WordPress plugin with 11M installs

2023/03/31 BleepingComputer — 1100万以上の Web サイトで使用されている、人気の WordPress プラグイン Elementor Pro の深刻な脆弱性が、ハッカーたちに積極的に悪用されている。Elementor Pro が提供する機能には、ドラッグ＆ドロップ／テーマ構築／テンプレート・コレクション／カスタム・ウィジェットのサポートに加えて、オンライン・ショップ用の WooCommerce ビルダーなどがある。そのため、ユーザーがコードを知らなくても、プロフェッショナルなサイトを簡単に構築できる、WordPress ページ・ビルダー・プラグインとして人気を博している。

WordPress プラグインの脆弱性と PoC エクスプロイト：SQLi による深刻な影響

PoC exploits released for critical bugs in popular WordPress plugins

2023/01/13 BleepingComputer — WordPress が公開したのは、数万インストールされている人気プラグイン３種類に存在する、深刻な SQL インジェクションの脆弱性と、その対策である。SQLインジェクション脆弱性とは、Web サイトのセキュリティ上の欠陥のことを指す。その悪用に成功した攻撃者は、フォームフィールドや URL 経由でデータを入力し、正規のデータベース・クエリーを変更することで、データの改ざんやなどを可能にする。SQL インジェクションの脆弱性を持つ Web サイトのコードに応じて、サイト・データの修正や削除／悪意のスクリプト注入／Web サイトへのフルアクセスなどにいたる恐れがある。

WordPress サイトを標的とする Linux マルウェア：20種類以上のテーマ／プラグインを悪用

WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws

2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン／テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。

Notepad++ Plugin を悪用する脅威アクターたち：侵入後に永続性を確保する可能性

Notepad++ Plugins Allow Attackers to Infiltrate Systems, Achieve Persistence

2022/09/15 InfoSecurity — Notepad++ プラグインの悪用に成功した行為アクターたちが、セキュリティ機構を回避し、被害者のマシン上で永続性を確保する可能性があることを、セキュリティ企業 Cybereason の最新調査結果が示唆している。同社の水曜日のアドバイザリには、「オープンソース・プロジェクトである Notepad++ Plugin Pack を用いて、RastaMouse と名乗るセキュリティ研究者が、永続化メカニズムとして使用できる悪意のプラグインの構築方法を実証した」と記している。

WordPress サイト 28万件に影響：WPGateway Plugin の深刻なゼロデイ脆弱性

Over 280,000 WordPress Sites Attacked Using WPGateway Plugin Zero-Day Vulnerability

2022/09/14 TheHackerNews — WordPress プレミアム・プラグイン WPGateway の最新バージョンに存在する、ゼロデイ脆弱性が活発に悪用されており、攻撃に成功した脅威アクターによるサイトの完全な乗っ取りの可能性が生じている。この脆弱性 CVE-2022-3180 (CVSS : 9.8) は、WPGateway プラグインを実行しているサイトに対して、攻撃者を管理者ユーザーとして追加する武器として使われていると、WordPress セキュリティ企業である Wordfence は指摘している。

WordPress プラグイン BackupBuddy のゼロデイが FIX：500万回もの攻撃が試行

Hackers Exploit Zero-Day in WordPress BackupBuddy Plugin in ~5 Million Attempts

2022/09/09 TheHackerNews — WordPress のセキュリティ企業である Wordfence は、WordPress プラグイン BackupBuddy のゼロデイ脆弱性の活発な悪用を明らかにした。同社は、「この脆弱性の悪用に成功した未認証のユーザーは、標的となるサイトから、機密情報を含む任意のファイルをダウンロードできる」と述べている。

WordPress Plugin マーケットプレイス調査：大量の悪意のプラグインと感染経路が判明

A study on malicious plugins in WordPress Marketplaces

2022/08/30 SecurityAffairs — ジョージア工科大学の研究チームは、40万件以上の Web サーバーのバックアップを分析し、24,931件の WordPress サイトにインストールされた、47,337件の悪質なプラグインを見つけ出した。専門家たちは、そのために YODA という自動フ解析レームワークを開発し、プロダクション Web サーバにおける CMS プラグインの進化を、2012年までさかのぼって調査し、悪意のあるプラグインを検出した。

WordPress Plugin の脆弱性：160万のサイトをスキャンするキャンペーンが見つかった

Attackers scan 1.6 million WordPress sites for vulnerable plugin

2022/07/15 BleepingComputer — セキュリティ研究者たちは、160万近い WordPress サイトをスキャンし、認証なしでファイルをアップロードする脆弱なプラグインの存在を探し出そうとする、大規模なキャンペーンを検出した。この攻撃者は、Kaswara Modern WPBakery Page Builderをターゲットにしているが、真の狙いは深刻な脆弱性 CVE-2021-24284 に対するパッチを受ける前に、作者により放棄されたサイトへの攻撃にある。

Jenkins Plugin 29種類にゼロデイ脆弱性：パッチの適用／未適用の確認が重要

Jenkins discloses dozens of zero-day bugs in multiple plugins

2022/07/01 BleepingComputer — 木曜日に Jenkins セキュリティ・チームは、オープンソースの自動化サーバ Jenkins における 29種類のプラグインに影響を与える、34件のセキュリティ脆弱性を発表し、そのうち 29件のバグは、パッチ未適用のゼロデイであることを明らかにした。Jenkins は、ソフトウェアのビルド／テスト／デプロイのために、世界中の企業で使用されている極めて人気のあるプラットフォームだ (1,700以上のプラグインに対応)。Jenkins の統計によると、影響を受けたプラグインは、合計で 22,000 以上もインストールされているようだ。

WordPress サイトへの大規模攻撃：悪意の JavaScript コード注入とリダイレクトが多発

Thousands of WordPress Sites Hacked to Redirect Visitors to Scam Sites

2022/05/12 TheHackerNews — サイバー・セキュリティ研究者たちが、侵害済みの WordPress サイトに悪意の JavaScript コードを注入し、訪問者を詐欺ページなどの悪意の Web サイトにリダイレクトし、不正なトラフィックを生成するという、大規模なキャンペーンについて公開している。

WordPress にサプライチェーン攻撃の可能性：93 のテーマ／プラグインにバックドア

Over 90 WordPress themes, plugins backdoored in supply chain attack

2022/01/21 BleepingComputer — 大規模なサプライ・チェーン攻撃により、WordPress の 93個のテーマとプラグインが侵害され、バックドアが含まれていたことで、脅威アクターは Web サイトへのフルアクセスを手に入れている。この攻撃では、36万件以上の Web サイトで使用されている WordPress に対して、アドオンを開発している AccessPress のテーマ 40個とプラグイン 53個が侵害されている。

WordPress プラグインの深刻な脆弱性 CVE-2022-0215：Web サイト 84,000 件に影響

High-Severity Vulnerability in 3 WordPress Plugins Affected 84,000 Websites

2022/01/16 TheHackerNews — 研究者たちが、84,000以上の Web サイトに影響を与える、３種類の WordPress プラグインのセキュリティ欠陥を公開した。これらの欠陥を悪用する脅威アクターにより、脆弱な WordPress サイトが乗っ取られる可能性もある。WordPress 傘下のセキュリティ企業である Wordfence は、先週に発表したレポートの中で、「この欠陥により、サイトの管理者が騙され、リンクをクリックするなどのアクションが実行されると、攻撃者は脆弱なサイトで任意のサイト・オプションを更新できる」と述べている。