miniOrange製WordPressプラグインに緊急の脆弱性、速やかに削除を
2024年3月20日(水)9時43分 マイナビニュース
これらプラグインはサイバーセキュリティ企業「miniOrange」により開発・公開されたが、脆弱性の報告を受けて2024年3月7日に閉鎖されている。これらプラグインにはいずれも特権昇格の脆弱性があり、悪用されると認証されていない攻撃者に管理者権限を取得されるリスクがある。
○脆弱性の影響を受ける製品と脆弱性情報
脆弱性の影響を受けるとされる製品およびバージョンは次のとおり。
Malware Scannerのすべてのバージョン
Web Application Firewallのすべてのバージョン
発見された脆弱性(CVE)の情報は次のとおり。
CVE-2024-2172 - mo_wpns_init()関数の機能チェック不足による特権昇格の脆弱性。認証されていない攻撃者は任意のユーザーのパスワードを変更することができる
○対策
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。しかしながら、これらプラグインは脆弱性を修正することなく閉鎖されている。そのため、これらプラグインを使用している管理者には速やかにWebサイトから削除することが推奨されている。