WordPressの複数プラグインにCVSS10.0の脆弱性 修正版リリースなしのため注意:セキュリティニュースアラート
WordPressの「InPost PL」と「InPost for WooCommerce」プラグインに重大な脆弱性が見つかった。CVSS v3.1のスコア値は10.0で深刻度「緊急」(Critical)と評価されているため迅速な対応が必要だ。
Wordfenceの脅威インテリジェンスチームは2024年8月16日(現地時間)、「WordPress」のプラグイン「InPost PL」および「InPost for WooCommerce」に重大な脆弱(ぜいじゃく)性が存在することを報告した。
WordPressのプラグインにCVSS 10.0の脆弱性 速やかな対応を
約1万のWordPressサイトが影響を受ける可能性があるとされるこの脆弱性が攻撃者に悪用されるとWebサイトが乗っ取られたり、リモートコード実行などのリスクが生じる可能性がある。
見つかった脆弱性は「CVE-2024-6500」として特定されている。共通脆弱性評価システム(CVSS) v3.1のスコア値は10.0で深刻度「緊急」(Critical)と評価しており注意が必要だ。
脆弱性の影響を受けるバージョンは以下の通りだ。
- InPost PL WordPress プラグイン version 1.4.4およびこれ以前のバージョン
- InPost for WooCommerce WordPress プラグイン version 1.4.0およびこれ以前のバージョン
分析によると、InPost for WooCommerceおよびInPost PLプラグインにおいて認証されていない攻撃者が「Windows」サーバの任意のファイルを読み取ったり削除したりすることが可能とされている。「Linux」サーバについては削除はWordPressインストール内のファイルに限定されるが、全てのファイルの読み取りが可能とされている。
脆弱性が修正されたバージョンは以下の通りだ。
- InPost PL WordPress プラグイン version 1.4.5およびこれ以降のバージョン
InPost for WooCommerceについては修正版はリリースされておらず、WordPress.orgリポジトリーから削除されている。InPost for WooCommerceをまだ利用している場合は速やかに削除することが強く推奨されている。
報告されている脆弱性の深刻度は非常に高く、重大なリスクをもたらすことが懸念されている。該当プラグインを使用している場合、迅速にアップデートすることや削除を実施するとともに悪用された痕跡がないかどうかを確認することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
SemperisはMicrosoft Entra IDに特定のアプリケーションの特権アクションが許可されていることを報告した。これによって特権ロールへの追加や削除が可能であり、特権昇格の危険性があるとされている。
Windows TCP/IPにCVSS 9.8の脆弱性 広範囲に影響を及ぼすため要注意
MicrosoftはWindows TCP/IPスタックに存在する重大な脆弱性(CVE-2024-38063)を公表した。この欠陥が悪用されると攻撃者によってリモートで任意のコードが実行される危険性がある。
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。