8万以上のWebサイトで使われている人気WordPressプラグインに深刻な脆弱性:セキュリティニュースアラート
DefiantがWordPressプラグイン「Comments - wpDiscuz」に重大な脆弱性「CVE-2024-9488」があると報告した。これを悪用すれば、サイバー攻撃者が正規のユーザーとしてログインできる可能性がある。
Defiantは2024年10月24日(現地時間)、「WordPress」のプラグイン「Comments - wpDiscuz」に重大な脆弱(ぜいじゃく)性があることを伝えた。Comments - wpDiscuzプラグインは8万以上のWebサイトにインストールされている人気の高いWordPressプラグインの一つだ。このプラグインに重大な認証バイパスの脆弱性が発見されている。
人気プラグイン「Comments - wpDiscuz」に深刻な脆弱性、直ちにアップデートを
Comments - wpDiscuzプラグインは、多くのWordPressサイトでアクティブにインストールされているコメントシステムだ。WordPressのネイティブなコメント機能を強化することを目的に設計されている。ユーザーエンゲージメントツールとして豊富な機能が提供されており、この脆弱性の影響は広範囲に及ぶ可能性がある。多くのユーザーに対し重大なセキュリティリスクとなることが懸念されている。
発見された脆弱性は「CVE-2024-9488」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.8で深刻度「緊急」(Critical)と評価されており、注意が必要だ。
CVE-2024-9488はソーシャルログインのトークンを介した認証の検証が不十分であることが原因とされ、認証されていない攻撃者がユーザーのメールアドレスにアクセスできる場合、管理者を含む既存ユーザーとしてログインすることが可能になるとされている。
脆弱性の影響を受けるバージョンは以下の通りだ。
- Comments - wpDiscuz プラグインのバージョン7.6.24およびこれ以前のバージョン
脆弱性が修正されたバージョンは以下の通りだ。
- Comments - wpDiscuz プラグイン version 7.6.25およびこれ以降のバージョン
該当プラグインを使用している場合、速やかに修正されたバージョンにアップデートするか削除を実施するとともに悪用された痕跡がないかどうかを確認することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。