Defiantはこのほど、「Critical Vulnerability Remains Unpatched in Two Permanently Closed MiniOrange WordPress Plugins - $1,250 Bounty Awarded」において、WordPressプラグイン「Malware Scanner」および「Web Application Firewall」に緊急のセキュリティ脆弱性が発見されたと報じた。

これらプラグインはサイバーセキュリティ企業「miniOrange」により開発・公開されたが、脆弱性の報告を受けて2024年3月7日に閉鎖されている。これらプラグインにはいずれも特権昇格の脆弱性があり、悪用されると認証されていない攻撃者に管理者権限を取得されるリスクがある。

  • Critical Vulnerability Remains Unpatched in Two Permanently Closed MiniOrange WordPress Plugins - $1、250 Bounty Awarded

    Critical Vulnerability Remains Unpatched in Two Permanently Closed MiniOrange WordPress Plugins - $1,250 Bounty Awarded

脆弱性の影響を受ける製品と脆弱性情報

脆弱性の影響を受けるとされる製品およびバージョンは次のとおり。

  • Malware Scannerのすべてのバージョン
  • Web Application Firewallのすべてのバージョン

発見された脆弱性(CVE)の情報は次のとおり。

  • CVE-2024-2172 - mo_wpns_init()関数の機能チェック不足による特権昇格の脆弱性。認証されていない攻撃者は任意のユーザーのパスワードを変更することができる

対策

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。しかしながら、これらプラグインは脆弱性を修正することなく閉鎖されている。そのため、これらプラグインを使用している管理者には速やかにWebサイトから削除することが推奨されている。