8,000台以上がインストールされているWordPressプラグインに深刻度の高いセキュリティ上の脆弱性により、攻撃者がウェブサイトをリセットしたりワイプしたりすることができることがわかりました。
2021年8月25日、Wordfence Threat Intelligenceチームは、7,000以上のインストール実績を持つWordPressプラグイン「Hashthemes Demo Importer」に存在する脆弱性の公開プロセスを開始しました。
この脆弱性により、認証されたユーザーであれば誰でもサイトを完全にリセットすることができ、ほぼすべてのデータベースコンテンツとすべてのアップロードされたメディアが永久に削除されます。
このプラグインは、Hashthemes Demo Importerと呼ばれ、管理者がWordPressテーマのデモをインポートする際に、依存関係のあるソフトウェアをインストールする必要がないように設計されています。
このセキュリティバグにより攻撃者がWordPressサイトをリセットし、ほぼすべてのデータベースコンテンツとアップロードされたメディアを削除することができます。
脅威分析者でもあるRam Gall氏は、このプラグインがnonceチェックを適切に実行できず、AJAX nonceが脆弱なサイトの管理画面上ですべてのユーザーに漏れてしまうと説明しています。
この脆弱性の結果として、ログインした購読者レベルのユーザーはパッチが適用されていないバージョンのHashthemes Demo Importerを実行しているサイトのコンテンツをすべて消去することができます。
ほとんどの脆弱性は破壊的な影響を及ぼす可能性がありますが、この脆弱性が悪用されたサイトはバックアップを取っていない限り復旧することは不可能です。
ログインしているユーザーは誰でもhdi_install_demo AJAX関数を起動し、リセットパラメータをtrueに設定することで、プラグインのdatabase_reset関数が実行されます。
この関数は、wp_options、wp_users、wp_usermetaを除くサイトのすべてのデータベーステーブルを切り詰めることで、データベースを消去します。
データベースが消去されると、プラグインは clear_uploads 関数を実行し、wp-content/uploads にあるすべてのファイルとフォルダを削除します。
購読者ユーザは、脆弱なサイトをワイプする可能性のあるユーザーの種類の1つで、WordPressのデフォルトのユーザーロール(Contributor、Author、Editor、Administratorと同様)で、登録ユーザーがウェブサイトのコメント欄にコメントを書けるようにするためにWordPressサイトでよく有効になっています。
通常登録ユーザーは、サイトのダッシュボードを使って自分のプロフィールを編集することしかできず、他の管理ページにはアクセスできません。
Wordfenceは、2021年8月25日にプラグインの開発チームにこの脆弱性とバグを報告しましたが、開発者は約1ヶ月間、開示メッセージに返信しませんでした。
このため、Wordfenceは9月20日にWordPressプラグインチームに連絡を取り、同日中にプラグインを削除し、4日後の9月24日にバグに対処するパッチをリリースしました。
しかし、Hashthemes Demo Importerの開発者は、セキュリティアップデートをリリースしているにもかかわらず、プラグインの変更履歴ページで1.1.2のリリースやアップデートについて言及していませんでした。
Comments