Hackers target WordPress calendar plugin used by 150,000 sites

ハッカーは、15万以上のウェブサイトに存在するModern Events Calendar WordPressプラグインの脆弱性を悪用し、脆弱なサイトに任意のファイルをアップロードし、リモートでコードを実行しようとしている。

このプラグインは、Webnus社によって開発され、対面式、バーチャル、またはハイブリッドイベントの組織化と管理に使用されています。

攻撃で悪用された脆弱性は、CVE-2024-5441 として識別され、高重要度スコア(CVSS v3.1:8.8)を獲得しています。この脆弱性は5月20日、WordfenceのBug Bounty Extravaganzaにおいて、Friderika Baranyaiによって発見され、責任を持って報告されました。

Wordfenceの報告書によると、このセキュリティ問題は、プラグインの「set_featured_image」関数のファイルタイプ検証の不備に起因しています。

この関数は画像のURLと投稿IDを受け取り、添付ファイルのIDを取得しようとし、見つからない場合はget_web_page 関数を使って画像をダウンロードします。

wp_remote_getまたはfile_get_contentsを使って画像を取得し、file_put_contents関数を使ってWordPressのuploadsディレクトリに保存します。

7.11.0までの最新のイベントカレンダーのバージョンでは、アップロードされた画像ファイルの拡張子のファイルタイプのチェックがないため、リスクのある.PHPファイルを含む、どのようなファイルタイプでもアップロードすることができます。

いったんアップロードされると、これらのファイルにアクセスして実行することができ、サーバー上でリモートコード実行が可能になり、ウェブサイトの完全な乗っ取りにつながる可能性があります。

CVE-2024-5441は、購読者や登録されたメンバーを含む、認証されたユーザーであれば誰でも悪用することができます。

プラグインが非会員(アカウントを持たない訪問者)からのイベント投稿を許可するように設定されている場合、CVE-2024-5441は認証なしで悪用可能です。

Webnusは昨日、Modern Event Calendarのバージョン7.12.0をリリースすることで脆弱性を修正した。

しかし、Wordfenceの報告によると、ハッカーはすでにこの問題を利用した攻撃を試みており、24時間で100回以上の攻撃をブロックしている。

現在進行中の悪用活動を考慮すると、Modern Events CalendarおよびModern Events Calendar Lite(無料版)のユーザーは、できるだけ早く最新版にアップグレードするか、アップデートを実行できるまでプラグインを無効にする必要がある。