innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

WordPressプラグインに警告!重大なセキュリティ脆弱性が発覚

WordPressプラグインに警告!重大なセキュリティ脆弱性が発覚 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-15 04:45 by admin

WordPressの管理者に対し、miniOrangeのMalware ScannerおよびWeb Application Firewallプラグインに重大なセキュリティ上の欠陥が発見されたため、これらのプラグインをウェブサイトから削除するよう呼びかけが行われた。この脆弱性はCVE-2024-2172として追跡され、CVSSスコアリングシステムで最大10点中9.8点と評価されている。影響を受けるバージョンは、Malware Scannerが4.7.2以下、Web Application Firewallが2.1.1以下である。これらのプラグインは2024年3月7日にメンテナンス終了となっている。Malware Scannerは1万以上のアクティブインストールがあり、Web Application Firewallは300以上のアクティブインストールがある。

この脆弱性により、認証されていない攻撃者がユーザーパスワードを更新することで自らに管理者権限を付与することが可能となる。mo_wpns_init()関数における権限チェックの欠如が原因で、攻撃者は任意のユーザーのパスワードを更新し、その権限を管理者レベルに昇格させることができ、サイトの完全な妥協を引き起こす可能性がある。攻撃者がWordPressサイトの管理者ユーザーアクセスを得ると、通常の管理者としてサイト上で任意の操作が可能となり、悪意のあるzipファイルを含むプラグインやテーマファイルのアップロード、サイトユーザーを他の悪意のあるサイトにリダイレクトするための投稿やページの変更などが行える。

また、WordPressセキュリティ企業は、RegistrationMagicプラグインにおいても同様の高重大度の権限昇格の脆弱性(CVE-2024-1991、CVSSスコア:8.8)が全バージョンに影響していることを警告している。この問題は2024年3月11日にバージョン5.3.1.0のリリースにより対処された。この脆弱性により、購読者レベルの権限を持つ認証された脅威アクターがサイト管理者と同等の権限に自らを昇格させることが可能となり、最終的にサイトの完全な妥協につながる可能性がある。このプラグインは1万以上のアクティブインストールがある。

【ニュース解説】

WordPressの管理者に対して、miniOrangeが提供するMalware ScannerおよびWeb Application Firewallプラグインに重大なセキュリティ上の欠陥が見つかったため、これらのプラグインをウェブサイトから削除するよう強く勧告されています。この脆弱性はCVE-2024-2172として識別され、CVSSスコアリングシステムで最大10点中9.8点という非常に高い評価を受けています。影響を受けるバージョンは、Malware Scannerが4.7.2以下、Web Application Firewallが2.1.1以下で、これらのプラグインは2024年3月7日にメンテナンスが終了しています。

この脆弱性の根本原因は、mo_wpns_init()関数における権限チェックの欠如にあります。これにより、認証されていない攻撃者が任意のユーザーのパスワードを更新し、自らに管理者権限を付与することが可能になります。管理者権限を得た攻撃者は、サイト上で悪意のあるファイルのアップロードや、サイトの内容の変更など、管理者として行えるあらゆる操作を行うことができます。これにより、サイトの完全な妥協につながるリスクがあります。

この問題は、WordPressのセキュリティを担当する企業からの警告によって明らかにされました。また、同様の権限昇格の脆弱性がRegistrationMagicプラグインにも存在することが指摘されています。この脆弱性は、購読者レベルの権限を持つ認証された脅威アクターが自らをサイト管理者に昇格させることを可能にし、サイトのセキュリティを脅かすものです。

このような脆弱性の発見は、WordPressを使用するサイトの管理者にとって重要な警告となります。サイトのセキュリティを確保するためには、定期的なプラグインの更新とセキュリティチェックが不可欠です。また、脆弱性が発見された場合には、迅速に対応し、推奨されるアクションを取ることが重要です。この事件は、サイトのセキュリティ維持におけるプラグインの選択と管理の重要性を改めて浮き彫りにしています。

長期的な視点では、このようなセキュリティ上の問題は、開発者と管理者の間でのコミュニケーションと協力を促進し、より安全なウェブ環境の構築に寄与する可能性があります。また、セキュリティの規制や基準の強化にもつながるかもしれません。しかし、一方で、攻撃者が新たな攻撃手法を開発することも予想されるため、セキュリティ対策は常に進化し続ける必要があります。

from WordPress Admins Urged to Remove miniOrange Plugins Due to Critical Flaw.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » WordPressプラグインに警告!重大なセキュリティ脆弱性が発覚

“WordPressプラグインに警告!重大なセキュリティ脆弱性が発覚” への1件のコメント

  1. 佐藤 智恵のアバター
    佐藤 智恵

    この報告によると、WordPressの管理者たちは、miniOrangeが提供するMalware ScannerおよびWeb Application Firewallプラグインに重大なセキュリティ上の欠陥が存在することに直面しています。このような脆弱性は、ウェブサイトの安全性にとって重大なリスクをもたらし、サイトの完全な妥協につながる可能性があることを示しています。特に、管理者権限を不正に取得することが可能となるという事実は、ウェブサイトのセキュリティシステムにおける深刻な問題を浮き彫りにします。

    私が小説家として、そして公の場で発言する立場にある人間として感じるのは、このような脆弱性は単に技術的な問題に留まらず、社会的な信頼性や安全性にも影響を及ぼすという点です。私たちの生活はますますデジタル化しており、多くのクリエイターや企業がウェブサイトを通じて作品やサービスを提供しています。そうした環境下で、セキュリティの脆弱性は直接的に信頼の損失や経済的損害につながり得ます。

    この問題への対処として、プラグインの定期的な更新とセキュリティチェックの重要性が改めて強調されています。また、開発者と管理者間のコミュニケーションの強化、さらに安全なウェブ環境の構築への協力が求

Latest News