WP向けメールマーケティングプラグインにSQLi脆弱性
「WordPress」向けプラグイン「Icegram Express」に深刻な脆弱性が明らかとなった。アップデートにて修正されている。
同ソフトウェアは、登録者に対するメールによるマーケティング機能を提供するプラグイン。9万超のウェブサイトで稼働している。「同5.7.14」および以前のバージョンにSQLインジェクションの脆弱性「CVE-2024-2876」が存在し、認証なしにデータベースを操作することが可能になるという。
DefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。
同脆弱性は、3月27日にリリースされた「同5.7.15」にて修正された。Defiantが実施したバグ報奨金プログラムを通じて報告されたもので、報告者には1250米ドルが贈られた。
その後もクロスサイトスクリプティング(XSS)の脆弱性「CVE-2024-2656」をはじめ、複数の脆弱性を修正しており、現地時間4月17日の時点で最新版は「同5.7.18」となっている。
(Security NEXT - 2024/04/18 )
ツイート
PR
関連記事
エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
フィッシングURLが約48%減 - 約1年ぶりの2万件台
「PHP」に複数脆弱性 - セキュリティアップデートがリリース
「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も
米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
Veeam製バックアップソフトに深刻なRCE脆弱性が判明
「Chrome」に「クリティカル」脆弱性 - アップデートで修正
持ち出し緊急連絡表をメモ利用、保育士を懲戒処分 - 二宮町
勤務時間に60時間以上に私的ネット閲覧、副校長処分 - 横浜市
KDDIのホームゲートウェイ「HGW-BL1500HM」に複数脆弱性