The Hacker Newによると、WordPress プラグインの 2 つ、Malware Scanner と miniOrage の Web Application Firewall は、Stiofan によって発見された重大なセキュリティ欠陥 CVE-2024-2172 に対して脆弱であり、CVSS セキュリティ脆弱性スコアリング システムの 10 段階評価で深刻度スコアは 9.8 です。
このバグの影響は広範囲にわたります。開発者は 2024 年 3 月 7 日に WordPress アプリ ストアからバグを削除しましたが、マルウェア スキャナーは最大 10,000 の Web サイトにインストールされアクティブになっていることが記録されているのに対し、Web アプリケーション ファイアウォールの場合は 300 であるため、依然として影響が出る可能性があります。
Wordfenceは、この脆弱性はプラグインのコードにチェックが欠落していたために発生し、認証されていない攻撃者が任意のユーザーのパスワードを任意に更新し、権限を管理者に昇格させ、ウェブサイトが完全に侵害される可能性があると述べた。
最も人気のある CMS プラットフォームである WordPress は、ハッカーの標的となっています。
管理者権限があれば、ハッカーは追加のプラグインやバックドアを含む悪意のある zip ファイルを簡単にダウンロードしたり、Web サイトの投稿を変更してユーザーを他の悪意のある Web サイトにリダイレクトしたりすることができます。
以前、同様のプラグインである RegistrationMagic が、バグ コード CVE-2024-1991、CVSS スコア 8.8 で報告されましたが、これもまた重大度の高い権限昇格の脆弱性です。このプラグインも 10,000 回以上ダウンロードおよびインストールされています。
WordPress は、世界中で広く使用されている人気のオープンソース コンテンツ管理システム (CMS) です。この CMS プラットフォームではインストール、アップロード、コンテンツの管理が簡単なため、WordPress はオンライン ストア、ポータル、ディスカッション フォーラムなどの Web サイトに最適なプラットフォームです。w3techs によると、この CMS プラットフォームは現在、世界中の Web サイトの43.1% で選択されています。
[広告2]
ソースリンク
コメント (0)