WordPressは、ブログやホームページを作成できる無料のコンテンツ管理システムです。
プログラミング言語の知識などの専門的な知識がなくても、テンプレートやプラグインを利用して簡単にWebサイトを構築できます。
テンプレートやプラグインがたくさん公開されているため、簡単に希望するようなサイトを構築することができます。
高機能で簡単なオープンソースソフトウェアです。
このため、一般の利用者に多く利用されています。
一般の利用者が多く使っていて高機能なオープンソースソフトウェアを、脅威アクターが注目しないわけはありません。
2003年からずっと提供されているWordPressですが、現在も多くの脆弱性の修正が提供されています。
いまちょうど2025年の第一四半期が終わろうというタイミングですが、最近よく悪用されているWordPressの脆弱性の情報がでています。
- CVE-2024-27956
CVSS Base Scoreは9.9です。
WordPress Automatic PluginのSQLインジェクションを可能にしてしまう欠陥です。
このプラグインは40,000以上の環境でインストールして利用されています。
この脆弱性は、認証されていない攻撃者がCSVエクスポート機能のauth POSTパラメータを介して任意のSQLを実行できるようにしてしまいます。 - CVE-2024-4345
CVSS Base Scoreは10.0です。
WordPress Startklar Elementor Addons Pluginのファイルタイプの検証が十分でない欠陥です。
この脆弱性は、認証されていない攻撃者が任意のファイルをWebサーバにアップロードし、最終的にWebサイトを乗っ取ることを可能にしてしまいます。 - CVE-2024-25600
CVSS Base Scoreは10.0です。
WordPress Bricks themeのリモートコード実行の脆弱性です。
このプラグインは30,000以上の環境でインストールして利用されています。
認証されていないユーザが任意のPHPコードを実行できてしまいますので、Webサイトを乗っ取られる可能性があるものとなっています。 - CVE-2024-8353
CVSS Base Scoreは10.0です。
WordPress GiveWP Pluginのリモートコード実行の脆弱性です。
このプラグインは100,000以上の環境でインストールして利用されています。
認証されていない攻撃者がPHPオブジェクトインジェクション攻撃を実行できるようになるため、最終的にWebサイトの乗っ取りにつながる可能性があります。
これらの脆弱性は、いずれもプラグインやテーマの脆弱性で、いずれもすでに修正されたものが提供されている脆弱性です。
正しい運用で危険な状態を維持してしまうことは回避できます。
もちろん修正されたものが出るときには危険な状態なわけですが、私たちにできるのは適切なパッチケイデンスで運用することです。
WordPress本体の更新だけでなく、プラグインやテーマなどの更新も意識して実施しましょう。
New Year, New Threats: Q1 2025’s Most Exploited WordPress Vulnerabilities
https://patchstack.com/articles/new-year-new-threats-q1-2025s-most-exploited-wordpress-vulnerabilities/
| この記事をシェア |
|
|---|
