The Hacker Newによると、WordPress プラグインの 2 つ (Malware Scanner と miniOrage の Web Application Firewall) は、Stiofan によって発見された重大なセキュリティ欠陥 (CVE-2024-2172) に対して脆弱であり、CVSS セキュリティ脆弱性評価システムの 10 段階評価で深刻度スコアは 9.8 です。

このバグの影響は広範囲にわたります。開発者は 2024 年 3 月 7 日に WordPress アプリ ストアからこのバグを削除しましたが、マルウェア スキャナーは最大 10,000 の Web サイトにインストールされアクティブになっていることが記録されているのに対し、Web アプリケーション ファイアウォールの場合は 300 であるため、依然として影響を及ぼす可能性があります。

Wordfenceは、この脆弱性はプラグインのコードにおけるチェック漏れが原因で、認証されていない攻撃者がユーザーのパスワードを任意に更新し、権限を管理者に昇格することができ、ウェブサイトが完全に侵害される可能性があると述べた。

管理者権限があれば、ハッカーは追加のプラグインやバックドアを含む悪意のある zip ファイルを簡単にダウンロードしたり、Web サイトの投稿を変更してユーザーを他の悪意のある Web サイトにリダイレクトしたりすることができます。

以前、同様のプラグインである RegistrationMagic が、バグ コード CVE-2024-1991、CVSS スコア 8.8 で報告されましたが、これもまた重大度の高い権限昇格の脆弱性です。このプラグインも 10,000 回以上ダウンロードおよびインストールされています。

WordPress は、世界中で広く使用されている人気のオープンソース コンテンツ管理システム (CMS) です。この CMS プラットフォームではインストール、アップロード、コンテンツの管理が簡単なため、WordPress はオンライン ストア、ポータル、ディスカッション フォーラムなどの Web サイトに最適なプラットフォームです。w3techs によると、この CMS プラットフォームは現在、世界中の Web サイトの43.1% で選択されています。