15万サイトで利用されるWordPressカレンダープラグイン、ハッカーの標的に(CVE-2024-5441) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 15万サイトで利用されるWordPressカレンダープラグイン、ハッカーの標的に(CVE-2024-5441)

Threat Report

Modern Events Calendar

Silobreaker-CyberAlert

WordPress

15万サイトで利用されるWordPressカレンダープラグイン、ハッカーの標的に(CVE-2024-5441)

Yoshida

Yoshida

2024.07.10

15万サイトで利用されるWordPressカレンダープラグイン、ハッカーの標的に(CVE-2024-5441)

BleepingComputer – July 9, 2024 

ハッカーがWordPressプラグインのModern Events Calendarにおける脆弱性を悪用し、脆弱なサイトに任意のファイルをアップロードして、リモートコード実行を行おうと試みているという。Wordfenceが新たなレポートで脆弱性の詳細を明らかにするとともに、この脆弱性を狙った攻撃を過去24時間で150回以上阻止した旨を報告している。なおこのプラグインは、現在15万件以上のサイトで使われている。

Wordfenceによると、この欠陥CVE-2024-5441(CVSS v3.1スコアは8.8)は、当該プラグイン内の「set_featured_image」関数でファイル形式の検証が行われないことで生じるものだという。7.11.0以降の最新のバージョンでは、これによってどのようなファイル形式でもアップロードすることができる。攻撃者はアップロードされたファイルにアクセスしてこれらを実行でき、サーバー上でのリモートコード実行が可能となる上、Webサイトを完全に乗っ取る可能性があるという。

この脆弱性は認証されたユーザーであれば誰でも悪用できる。また、アカウントを持たないユーザーからのイベント投稿を許可するように設定されている場合、認証なしでも悪用できるとのこと。

このプラグインを開発したWebnusは8日、バージョン7.12.0をリリースし、同脆弱性を修正した。Modern Events CalendarおよびModern Events Calendar Lite(無料版)のユーザーは、できるだけ早く最新版にアップグレードするか、アップデートを実施できるようになるまでこのプラグインを無効にする必要がある。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ