15万サイトで利用されるWordPressカレンダープラグイン、ハッカーの標的に(CVE-2024-5441)
BleepingComputer – July 9, 2024
ハッカーがWordPressプラグインのModern Events Calendarにおける脆弱性を悪用し、脆弱なサイトに任意のファイルをアップロードして、リモートコード実行を行おうと試みているという。Wordfenceが新たなレポートで脆弱性の詳細を明らかにするとともに、この脆弱性を狙った攻撃を過去24時間で150回以上阻止した旨を報告している。なおこのプラグインは、現在15万件以上のサイトで使われている。
Wordfenceによると、この欠陥CVE-2024-5441(CVSS v3.1スコアは8.8)は、当該プラグイン内の「set_featured_image」関数でファイル形式の検証が行われないことで生じるものだという。7.11.0以降の最新のバージョンでは、これによってどのようなファイル形式でもアップロードすることができる。攻撃者はアップロードされたファイルにアクセスしてこれらを実行でき、サーバー上でのリモートコード実行が可能となる上、Webサイトを完全に乗っ取る可能性があるという。
この脆弱性は認証されたユーザーであれば誰でも悪用できる。また、アカウントを持たないユーザーからのイベント投稿を許可するように設定されている場合、認証なしでも悪用できるとのこと。
このプラグインを開発したWebnusは8日、バージョン7.12.0をリリースし、同脆弱性を修正した。Modern Events CalendarおよびModern Events Calendar Lite(無料版)のユーザーは、できるだけ早く最新版にアップグレードするか、アップデートを実施できるようになるまでこのプラグインを無効にする必要がある。