会員サイト構築用WPプラグインにゼロデイ攻撃 - 侵害状況の確認を
WordPress用プラグイン「Ultimate Member」に深刻な脆弱性が明らかとなった。ゼロデイ攻撃も確認されており、アップデートにくわえて侵害状況の確認など行なうよう呼びかけられている。
同ソフトウェアは、コンテンツマネジメントシステム(CMS)の「WordPress」において会員制サイトを運用するための支援機能を提供するプラグイン。
同プラグインを導入しているサイトにおいて、第三者が管理者権限を持つユーザーを作成することが可能となる脆弱性「CVE-2023-3460」が明らかとなったもの。「同2.6.6」および以前のバージョンが影響を受ける。
DEFIANTは、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価した。
少なくとも5件のIPアドレスを発信元とする攻撃が観測されており、攻撃者によって「wpenginer」「wpadmins」「wpengine_backup」「se_brutal」「segs_brutal」といったアカウントの作成を試行する活動が確認されているという。
(Security NEXT - 2023/07/03 )
ツイート
関連リンク
PR
関連記事
事業者向けECサイトにサイバー攻撃 - ソフトバンク関連会社
Python向けライブラリ「gevent」に脆弱性 - アップデートを
「Firefox 118」が公開に - 機能強化や脆弱性修正など実施
「VMware Aria Operations」に脆弱性 - ホットフィクスを公開
セミナー案内メール、宛先に別人氏名 - 大阪府
県立高校でメール誤送信、高校生活入門講座参加者のメアド流出 - 三重県
メタバース内に「警視庁サイバーセキュリティセンター」を開設
JPAAWGのカンファレンスイベント、11月に開催 - 申込受付を開始
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実
トレンドのモバイル管理製品に複数の脆弱性