miniOrange製WordPressプラグインに緊急の脆弱性、速やかに削除を

Defiantはこのほど、「Critical Vulnerability Remains Unpatched in Two Permanently Closed MiniOrange WordPress Plugins – $1,250 Bounty Awarded」において、WordPressプラグイン「Malware Scanner」および「Web Application Firewall」に緊急のセキュリティ脆弱性が発見されたと報じた。

これらプラグインはサイバーセキュリティ企業「miniOrange」により開発・公開されたが、脆弱性の報告を受けて2024年3月7日に閉鎖されている。これらプラグインにはいずれも特権昇格の脆弱性があり、悪用されると認証されていない攻撃者に管理者権限を取得されるリスクがある。

脆弱性の影響を受ける製品と脆弱性情報

脆弱性の影響を受けるとされる製品およびバージョンは次のとおり。

  • Malware Scannerのすべてのバージョン
  • Web Application Firewallのすべてのバージョン

発見された脆弱性(CVE)の情報は次のとおり。

  • CVE-2024-2172 – mo_wpns_init()関数の機能チェック不足による特権昇格の脆弱性。認証されていない攻撃者は任意のユーザーのパスワードを変更することができる

国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ

対策

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。しかしながら、これらプラグインは脆弱性を修正することなく閉鎖されている。そのため、これらプラグインを使用している管理者には速やかにWebサイトから削除することが推奨されている。

情報元
https://news.mynavi.jp/techplus/article/20240320-2910169/