50万以上のサイトで使用されている Forminator WordPress プラグインには、悪意のある行為者がサーバーに無制限にファイルをアップロードできる脆弱性があります。
WPMU DEVによるForminatorは、WordPressサイト用のカスタムコンタクト、フィードバック、クイズ、アンケート/投票、支払いフォームビルダーで、ドラッグ&ドロップ機能、広範なサードパーティ統合、汎用性を提供しています。
木曜日、日本のCERTは、Forminatorに重大な欠陥(CVE-2024-28890、CVSS v3:9.8)が存在し、リモート攻撃者がこのプラグインを使用しているサイトにマルウェアをアップロードできる可能性があることを警告するポータル(JVN)を公開しました。
“リモートの攻撃者は、サーバ上のファイルにアクセスすることで機密情報を取得し、プラグインを使用しているサイトを改ざんし、サービス運用妨害 (DoS) 状態を引き起こす可能性があります。”-JVN
JPCERT のセキュリティ情報には、以下の 3 つの脆弱性が記載されています:
- CVE-2024-28890– ファイルアップロード時のファイル検証が不十分なため、リモートの攻撃者に悪意のあるファイルをアップロードされ、サイトのサーバー上で実行される可能性があります。Forminator 1.29.0 以前のバージョンに影響します。
- CVE-2024-31077– SQL インジェクションの欠陥により、管理者権限を持つリモートの攻撃者が サイトのデータベースで任意の SQL クエリを実行できる可能性があります。Forminator 1.29.3 およびそれ以前のバージョンに影響します。
- CVE-2024-31857– クロスサイトスクリプティング (XSS) の不具合により、リモートの攻撃者が特別に細工されたリンクをたどった場合に、ユーザのブラウザ上で任意の HTML やスクリプトコードを実行される可能性があります。Forminator 1.15.4 以前のバージョンに影響します。
Forminator プラグインを使用しているサイト管理者は、できるだけ早く、3つの欠陥すべてに対処したバージョン 1.29.3 にアップグレードすることが推奨されます。
WordPress.orgの統計によると、2024年4月8日のセキュリティアップデートのリリース以来、およそ180,000人のサイト管理者がプラグインをダウンロードしています。これらのダウンロードがすべて最新バージョンに関係していると仮定すると、攻撃に対する脆弱性が残っているサイトはまだ320,000あることになる。
この記事を書いている時点では、CVE-2024-28890の悪用に関する公的な報告はないが、この欠陥の深刻さと、それを利用するための要件が簡単に満たせることから、管理者がアップデートを延期するリスクは高い。
WordPressサイトの攻撃対象領域を最小化するためには、できるだけ少ないプラグインを使用し、できるだけ早く最新バージョンにアップデートし、積極的に使用されていない/必要とされていないプラグインを無効化することです。
Comments