WP向けメールマーケティングプラグインにSQLi脆弱性

「WordPress」向けプラグイン「Icegram Express」に深刻な脆弱性が明らかとなった。アップデートにて修正されている。

同ソフトウェアは、登録者に対するメールによるマーケティング機能を提供するプラグイン。9万超のウェブサイトで稼働している。「同5.7.14」および以前のバージョンにSQLインジェクションの脆弱性「CVE-2024-2876」が存在し、認証なしにデータベースを操作することが可能になるという。

DefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

同脆弱性は、3月27日にリリースされた「同5.7.15」にて修正された。Defiantが実施したバグ報奨金プログラムを通じて報告されたもので、報告者には1250米ドルが贈られた。

その後もクロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-2656」をはじめ、複数の脆弱性を修正しており、現地時間4月17日の時点で最新版は「同5.7.18」となっている。

（Security NEXT - 2024/04/18 ）ツイート