Radykal が提供するプレミアム WordPress プラグイン Fancy Product Designer には、2 つの重大な欠陥があり、現在の最新バージョンでは修正されていません。
20,000以上の販売実績を持つこのプラグインは、WooCommerceサイトの商品デザイン(例:衣類、マグカップ、スマホケース)を、色の変更、テキストの変形、サイズの変更などでカスタマイズすることができます。
このプラグインを調査していたPatchstackのRafie Muhammad氏は、2024年3月17日、このプラグインに以下の2つの重大な欠陥があることを発見した:
- CVE-2024-51919(CVSSスコア:9.0):CVE-2024-51919 (CVSS スコア: 9.0):ファイルアップロード関数 ‘save_remote_file’ と ‘fpd_admin_copy_file’ の実装が安全でなく、ファイルの種類を適切に検証または制限していないことに起因する、認証されていない任意のファイルアップロードの脆弱性。攻撃者は、悪意のあるファイルをアップロードするためにリモートの URL を供給することで、これを悪用し、リモートでコードを実行 (RCE) することができます。
- CVE-2024-51818(CVSS スコア: 9.3):不適切な ‘strip_tags’ の使用による、ユーザー入力の不適切なサニタイズに起因する、認証されていない SQL インジェクションの脆弱性です。ユーザから提供された入力が適切な検証を受けることなくデータベースクエリに直接統合され、データベースの侵害、データの取得、変更、削除につながる可能性があります。
Patchstackは問題を発見した翌日、ベンダーにこの問題を通知したにもかかわらず、Radykal社から返答はなかった。
1月6日、Patchstackはこの欠陥をデータベースに追加し、本日、ユーザーへの警告とリスクについての認識を高めるためのブログ記事を公開した。
2ヶ月前にリリースされた最新の6.4.3を含め、20の新しいバージョンがリリースされた後でも、2つの重大なセキュリティ問題は未パッチのままである、とMuhammad氏は言う。
Patchstackの記事は、攻撃者がエクスプロイトを作成し、RadykalのFancy Product Designerプラグインを使用しているウェブストアを標的にし始めるのに十分な技術情報を提供している。
一般的な推奨事項として、管理者は安全なファイル拡張子を持つ許可リストを作成することで、任意のファイルのアップロードを防ぐべきである。さらに、Patchstackは、安全なエスケープとフォーマットを行うことで、クエリに対するユーザの入力をサニタイズし、SQLインジェクションから保護することを推奨しています。
はRadycal社に連絡を取り、近日中にセキュリティ・アップデートをリリースする予定があるかどうか尋ねたが、コメントはすぐに得られなかった。
Comments