ニュース
WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を:セキュリティニュースアラート
JPCERT/CCは、WordPress用プラグイン「Forminator」に複数の脆弱性が存在すると伝えた。これらの中にはCVSS 9.8に分類されるものも含まれるため注意が必要だ。
JPCERTコーディネーションセンター(JPCERT/CC)は2024年4月18日、WPMU DEVが提供する「WordPress」用プラグイン「Forminator」に複数の脆弱(ぜいじゃく)性が存在すると伝えた。
WordPressのForminatorにCVSS 9.8の脆弱性 急ぎ対処を
ForminatorはWordPressで制作したWebサイトに問合せフォームや支払いフォームなどを作成できるプラグインだ。今回見つかった脆弱性の中には、CVSS v3.0スコアで9.8に分類されているものもあるため注意が必要となる。
これらの脆弱性を利用されると、以下の影響を受ける可能性がある。
- 遠隔地からの不正アクセスによりサーバ上のファイルから機密情報を窃取される
- 当該製品を利用しているWebサイトが改ざんされたり、サービス運用が妨害される
- 管理画面へのアクセス権を持つユーザーによって、データベースから情報が取得または改ざんされる
- 遠隔の第三者によってユーザー情報などが抽出されたり、Webブラウザ上の表示が改ざんされる
影響を受けるバージョンは以下の通りだ。
- Forminator 1.29.0より前のバージョン(CVE-2024-28890)
- Forminator 1.29.3より前のバージョン(CVE-2024-31077)
- Forminator 1.15.4より前のバージョン(CVE-2024-31857)
報告されている脆弱性は以下の通りだ。
- CVE-2024-28890: 危険なファイルを無制限アップロードされる脆弱性。CVSS v3.0スコアは9.8
- CVE-2024-31077: SQLインジェクションの脆弱性。CVSS v3.0スコアは7.2
- CVE-2024-31857: クロスサイトスクリプティング(XSS)の脆弱性。CVSS v3.0スコアは6.1
これらの脆弱性が修正されたバージョンは既に公開されており、JPCERT/CCは開発者が提供する情報を基にアップデートするよう呼び掛けている。
関連記事
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
JPCERT/CCは複数のプログラミング言語や実行環境で、Windows環境におけるコマンド実行処理での脆弱性を公表した。この脆弱性は不適切なエスケープ処理によってコマンドインジェクションを引き起こす可能性がある。 - VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
Cisco TalosはVPNやSSHサービスを標的とした大規模な総当り攻撃(ブルートフォース攻撃)が増加していると報告した。攻撃は匿名化ネットワークから発信され、複数のVPNサービスが攻撃の対象となっている。 - HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
2024年3月に発生した日本の光学機器・ガラスメーカーHOYAのセキュリティインシデントについて、仏メディアがサイバー犯罪グループ「Hunters International」の関与を指摘した。同グループはHOYAに1000万ドルを要求しているという。 - 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
大田区役所は2023年10月に同区のシステムで発生した障害について、その原因と運用保守を委託していたNECとの和解のてん末を明らかにした。同障害は区民サービスに多大な影響を及ぼした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.