Defiantは1月6日(米国時間)、「UpdraftPlus: WP Backup & Migration Plugin 1.23.8 - 1.24.11 - Unauthenticated PHP Object Injection」において、WordPressのバックアップ/移行プラグイン「UpdraftPlus: WP Backup & Migration Plugin」に重大な脆弱性が存在するとして、注意を喚起した。

この脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。

  • UpdraftPlus: WP Backup & Migration Plugin 1.23.8 - 1.24.11 - Unauthenticated PHP Object Injection

    UpdraftPlus: WP Backup & Migration Plugin 1.23.8 - 1.24.11 - Unauthenticated PHP Object Injection

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-10957 - PHPオブジェクトインジェクションの脆弱性。POPチェーンを含む別のプラグインやテーマがインストールされている場合、認証されていない攻撃者は任意ファイルの削除、機密データの窃取、コードの実行などを行う可能性がある(CVSSスコア: 8.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • UpdraftPlus: WP Backup & Migration Plugin 1.23.8から1.24.11までのバージョン

脆弱性を修正した製品

脆弱性を修正した製品およびバージョンは次のとおり。

  • UpdraftPlus: WP Backup & Migration Plugin 1.24.12

影響と対策

UpdraftPlus: WP Backup & Migration Plugin」は、300万サイト以上にインストールされている人気のWordPressプラグイン。公開されている統計データからは脆弱性の影響を受けるサイト数を確認することはできないが、相当数のWordPressサイトが影響を受けているものと推測される。

この脆弱性の深刻度は重要(Important)と評価されており注意が必要。影響を受けるバージョンのプラグインを使用している場合は、速やかにアップデートすることが推奨されている。