innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

WordPressプラグイン脆弱性、管理者アカウント不正作成の危機

WordPressプラグイン脆弱性、管理者アカウント不正作成の危機 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-05 06:53 by admin

ハッカーがWordPressのWP-Automaticプラグインの脆弱性を悪用して、管理者アカウントを不正に作成している。この脆弱性はCVE-2024-27956として追跡され、CVSSスコアは最大10点中9.9点と評価されている。影響を受けるのは、3.9.2.0より前のバージョンのプラグインである。

このSQLインジェクション(SQLi)の欠陥を利用することで、攻撃者はウェブサイトに無許可でアクセスし、管理者レベルのユーザーアカウントを作成、悪意のあるファイルをアップロードし、影響を受けたサイトの完全な制御を取る可能性がある。攻撃者は、特に作成されたリクエストを介してデータベースに対して任意のSQLクエリを実行することで、プラグインのユーザー認証メカニズムを容易に回避できる。

これまでに観測された攻撃では、CVE-2024-27956が不正なデータベースクエリを実行し、脆弱なWordPressサイト(例えば、”xtw”で始まる名前)に新しい管理者アカウントを作成するために使用されている。これにより、ファイルのアップロードやコードの編集を可能にするプラグインをインストールするなど、後続の悪用行為が行われる。

WordPressのセキュリティ企業Patchstackによって2024年3月13日に公開されたCVE-2024-27956は、野外で550万回以上の攻撃試行が検出されている。また、Email Subscribers by Icegram Express(CVE-2024-2876、CVSSスコア:9.8)、Forminator(CVE-2024-28890、CVSSスコア:9.8)、User Registration(CVE-2024-2417、CVSSスコア:8.8)などのプラグインにおいて、データベースからパスワードハッシュを抽出したり、任意のファイルをアップロードしたり、認証されたユーザーに管理者権限を与えることができる深刻なバグが公開されている。さらに、Poll Makerプラグイン(CVE-2024-32514、CVSSスコア:9.9)には、認証された攻撃者がサイトのサーバーに任意のファイルをアップロードし、リモートコード実行を引き起こす可能性がある未修正の問題があると警告されている。

【ニュース解説】

WordPressのWP-Automaticプラグインに存在する重大なセキュリティ脆弱性が、攻撃者によって悪用されている事例が報告されています。この脆弱性はCVE-2024-27956として識別され、CVSSスコアは9.9と非常に高いリスクレベルを示しています。影響を受けるのは、バージョン3.9.2.0より前のWP-Automaticプラグインで、この脆弱性を突くことで攻撃者はWordPressサイトに不正アクセスし、管理者権限を持つユーザーアカウントを作成することが可能になります。

この脆弱性はSQLインジェクション(SQLi)の欠陥によるもので、攻撃者は特別に作成されたリクエストを送信することで、プラグインのユーザー認証メカニズムを回避し、データベースに対して任意のSQLクエリを実行できます。これにより、悪意のあるファイルのアップロードやコードの編集を含む、サイトの完全な制御が可能になる恐れがあります。

このような攻撃は、サイトのセキュリティを大きく損なうだけでなく、攻撃者による長期的なアクセス確保や、他の攻撃者からの悪用を防ぐためのバックドアの設置など、さらに複雑なセキュリティ上の問題を引き起こす可能性があります。また、この脆弱性の公開以降、550万回以上の攻撃試行が検出されており、WordPressサイトの運営者にとっては非常に深刻な脅威となっています。

この問題に対処するためには、WP-Automaticプラグインの最新バージョンへの更新が必須です。また、サイトのセキュリティを維持するためには、定期的なセキュリティチェックや、他のプラグインに関するセキュリティ情報の追跡も重要になります。この事件は、WordPressサイトの運営者がセキュリティ対策を怠ることのリスクを改めて浮き彫りにし、セキュリティ意識の向上と対策の徹底を促しています。

長期的な視点では、このような脆弱性の発見と公開は、WordPressをはじめとするCMSのセキュリティ強化に寄与すると期待されます。しかし、攻撃者も常に新たな攻撃手法を模索しているため、サイト運営者、開発者、セキュリティ研究者は、常に警戒を怠らず、最新のセキュリティ情報を共有し合うことが重要です。この事件を教訓に、より安全なウェブ環境の構築に向けた取り組みが進むことを期待します。

from Hackers Exploiting WP-Automatic Plugin Bug to Create Admin Accounts on WordPress Sites.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » WordPressプラグイン脆弱性、管理者アカウント不正作成の危機

Latest News