WP向け寄付管理プラグインに深刻な脆弱性 - ゼロデイ攻撃発生中

コンテンツマネジメントシステム（CMS）の「WordPress」向けプラグイン「Total Donations」に深刻な脆弱性が含まれていることがわかった。ゼロデイ攻撃が確認されている。

同脆弱性は、Calmar Webmediaが提供する寄付管理プラグイン。「同2.0.5」および以前のバージョンに、サイトの管理者権限を奪われるおそれがある脆弱性「CVE-2019-6703」が明らかとなったもの。Defiantが報告したもので、脆弱性の影響は多岐にわたっている。

同社によると、同プラグインのAJAXによる88の動作において、49に脆弱性が存在。新規にユーザーを作成し、管理者権限を設定したり、第三者が本来アクセスできないデータへアクセス可能となるなど重大な脆弱性が含まれるという。

さらに寄付の動作を変更したり、SQLインジェクション攻撃、スパムメールを配信するための踏み台になるおそれがあるほか、メーリングリストが漏洩する可能性なども指摘されている。

（Security NEXT - 2019/01/29 ） ツイート

PR

関連記事

Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
「Chrome」に30件の脆弱性 - 「クリティカル」が4件
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加