WordPress人気プラグインに重大な脆弱性 10万サイトに乗っ取りのリスク:CVE-2024-5932 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > WordPress人気プラグインに重大な脆弱性 10万サイトに乗っ取りのリスク:CVE-2024-5932

Threat Report

BIG-IP

F5

GiveWP

WordPress人気プラグインに重大な脆弱性 10万サイトに乗っ取りのリスク:CVE-2024-5932

Yoshida

Yoshida

2024.08.21

8月21日:サイバーセキュリティ関連ニュース

寄付プラグインに重大な脆弱性 WordPressサイト10万件が乗っ取られる恐れ(CVE-2024-5932)

SecurityWeek – August 20, 2024

WordPressプラグイン「GiveWP」に深刻な脆弱性があり、10万件以上のWebサイトがリモートコード実行などの攻撃を受ける恐れがあるという。WordPressに特化したセキュリティ企業Defiantの報告により明らかとなった。

この欠陥CVE-2024-5932(CVSSスコア:10/10)は、「give_title」パラメータの信頼できない入力値のデシリアライズを介したPHPオブジェクトインジェクションの脆弱性だと説明されている。

Defiantによると、認証されていない攻撃者がこの欠陥を悪用してPHPオブジェクトを注入し、POP(Property Oriented Programming)チェーンを利用して任意のコードを遠隔で実行したり、任意のファイルを削除したりする恐れがあるという。削除されたファイルによってはサイトのリセットが引き起こされ、攻撃者が自身の制御下にあるリモートのデータベースに接続することで、サイトが乗っ取られる可能性があるようだ。

GiveWPは寄付金集めや資金調達用に使われる人気のプラグインで、カスタマイズ可能な寄付用フォームや、寄付者およびレポートの管理など幅広い機能をユーザーに提供する。そのアクティブインストール数は10万を超えるとされる。

この脆弱性はGiveWPのバージョン3.14.1以前のものに影響を与えるが、バージョン3.14.2で修正されている。

F5、BIG-IPおよびNGINX Plusにおける深刻度の高い脆弱性を複数修正(CVE-2024-39809、CVE-2024-39778他)

SecurityWeek – August 20, 2024

アプリケーションデリバリおよびセキュリティ関連企業F5は今月、四半期セキュリティ通知の一環で、9件の脆弱性を修正したことを発表した。修正された欠陥の中には、BIG-IPおよびNGINX Plusに存在する深刻度の高い脆弱性が4件含まれる。

深刻度の高い脆弱性4件については以下の通り。

  • CVE-2024-39809(CVSS v4.0:8.9)はセッションの有効期限が不十分な脆弱性で、ユーザーセッションのリフレッシュトークンがログアウト時に失効しないために生じる。BIG-IP Next Central Managerに影響を与える問題の中で最も深刻なもの。
  • CVE-2024-39778(CVSS v4.0:8.7)はBIG-IPの実装上の弱点。High-Speed Bridge(HSB)で構成されたステートレス仮想サーバーで、仮想サーバーがクライアント接続を処理できなくなり、Traffic Management Microkernel(TMM)が停止する恐れがある。
  • CVE-2024-39792(CVSS v4.0:8.7)は未公開のリクエストによってリソースの使用率が上昇する脆弱性で、MQTTのフィルタモジュールを使用するように構成されたNGINX Plusインスタンスに存在する。
  • CVE-2024-41727(CVSS v4.0:8.7):リソース消費量の増加の脆弱性で、r2000およびr4000シリーズのハードウェアで動作するBIG-IPテナントと、Intel E810 SR-IOV NICを使用するBIG-IP Virtual Edition(VE)に影響する。

F5は、今回発表した脆弱性の悪用事例について特に言及していない。詳細情報は、同社の四半期セキュリティ通知で確認できる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ