8月21日:サイバーセキュリティ関連ニュース
寄付プラグインに重大な脆弱性 WordPressサイト10万件が乗っ取られる恐れ(CVE-2024-5932)
SecurityWeek – August 20, 2024
WordPressプラグイン「GiveWP」に深刻な脆弱性があり、10万件以上のWebサイトがリモートコード実行などの攻撃を受ける恐れがあるという。WordPressに特化したセキュリティ企業Defiantの報告により明らかとなった。
この欠陥CVE-2024-5932(CVSSスコア:10/10)は、「give_title」パラメータの信頼できない入力値のデシリアライズを介したPHPオブジェクトインジェクションの脆弱性だと説明されている。
Defiantによると、認証されていない攻撃者がこの欠陥を悪用してPHPオブジェクトを注入し、POP(Property Oriented Programming)チェーンを利用して任意のコードを遠隔で実行したり、任意のファイルを削除したりする恐れがあるという。削除されたファイルによってはサイトのリセットが引き起こされ、攻撃者が自身の制御下にあるリモートのデータベースに接続することで、サイトが乗っ取られる可能性があるようだ。
GiveWPは寄付金集めや資金調達用に使われる人気のプラグインで、カスタマイズ可能な寄付用フォームや、寄付者およびレポートの管理など幅広い機能をユーザーに提供する。そのアクティブインストール数は10万を超えるとされる。
この脆弱性はGiveWPのバージョン3.14.1以前のものに影響を与えるが、バージョン3.14.2で修正されている。
F5、BIG-IPおよびNGINX Plusにおける深刻度の高い脆弱性を複数修正(CVE-2024-39809、CVE-2024-39778他)
SecurityWeek – August 20, 2024
アプリケーションデリバリおよびセキュリティ関連企業F5は今月、四半期セキュリティ通知の一環で、9件の脆弱性を修正したことを発表した。修正された欠陥の中には、BIG-IPおよびNGINX Plusに存在する深刻度の高い脆弱性が4件含まれる。
深刻度の高い脆弱性4件については以下の通り。
- CVE-2024-39809(CVSS v4.0:8.9)はセッションの有効期限が不十分な脆弱性で、ユーザーセッションのリフレッシュトークンがログアウト時に失効しないために生じる。BIG-IP Next Central Managerに影響を与える問題の中で最も深刻なもの。
- CVE-2024-39778(CVSS v4.0:8.7)はBIG-IPの実装上の弱点。High-Speed Bridge(HSB)で構成されたステートレス仮想サーバーで、仮想サーバーがクライアント接続を処理できなくなり、Traffic Management Microkernel(TMM)が停止する恐れがある。
- CVE-2024-39792(CVSS v4.0:8.7)は未公開のリクエストによってリソースの使用率が上昇する脆弱性で、MQTTのフィルタモジュールを使用するように構成されたNGINX Plusインスタンスに存在する。
- CVE-2024-41727(CVSS v4.0:8.7):リソース消費量の増加の脆弱性で、r2000およびr4000シリーズのハードウェアで動作するBIG-IPテナントと、Intel E810 SR-IOV NICを使用するBIG-IP Virtual Edition(VE)に影響する。
F5は、今回発表した脆弱性の悪用事例について特に言及していない。詳細情報は、同社の四半期セキュリティ通知で確認できる。