Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WordPress」向けプラグイン「Icegram Express」に脆弱性 - すでに攻撃も

コンテンツマネジメントシステム(CMS)の「WordPress」向けにメールマーケティング機能を提供するプラグイン「Icegram Express」に深刻な脆弱性が明らかとなった。5月下旬から6月初旬にかけてリリースされたアップデートで順次修正されている。

「同5.7.20」および以前のバージョンに、SQLインジェクションの脆弱性「CVE-2024-4295」が明らかとなったもの。

リモートから認証なしに悪用することが可能で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。

DefiantのWordfenceでは、6月7日14時の時点で過去24時間に脆弱性を狙った攻撃を8000回以上ブロックしているという。

また同プラグインには、別のSQLインジェクションの脆弱性「CVE-2024-4845」も明らかとなっている。

Icegramでは現地時間5月22日にリリースした「同5.7.21」にて「CVE-2024-4295」を修正。「CVE-2024-4845」についても6月6日にリリースした「同5.7.23」で対処した。

(Security NEXT - 2024/06/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

分散ストレージ基盤「NVIDIA AIStore Framework」に脆弱性
情報流出の可能性、影響など調査 - テレビ朝日子会社
Joomla向け機能拡張「iCagenda」「Balbooa Forms」の脆弱性悪用に注意
BeyondTrustのリモートアクセス製品に複数の脆弱性
先週注目された記事(2026年7月5日〜2026年7月11日)
「GNU Wget」にSSRF脆弱性 - 連携利用環境なども注意
説明会の案内状を誤送信、全参加予定者の氏名 - 大阪市
本人の同意なしに健診結果を家族に説明 - 八重瀬町
中学校の生徒情報含む私物メディアを鞄ごと紛失 - 江戸川区
ボランティア情報含むページが閲覧可能に - 千歳JAL国際マラソン