「WordPress」向けプラグイン「Icegram Express」に脆弱性 - すでに攻撃も
コンテンツマネジメントシステム(CMS)の「WordPress」向けにメールマーケティング機能を提供するプラグイン「Icegram Express」に深刻な脆弱性が明らかとなった。5月下旬から6月初旬にかけてリリースされたアップデートで順次修正されている。
「同5.7.20」および以前のバージョンに、SQLインジェクションの脆弱性「CVE-2024-4295」が明らかとなったもの。
リモートから認証なしに悪用することが可能で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
DefiantのWordfenceでは、6月7日14時の時点で過去24時間に脆弱性を狙った攻撃を8000回以上ブロックしているという。
また同プラグインには、別のSQLインジェクションの脆弱性「CVE-2024-4845」も明らかとなっている。
Icegramでは現地時間5月22日にリリースした「同5.7.21」にて「CVE-2024-4295」を修正。「CVE-2024-4845」についても6月6日にリリースした「同5.7.23」で対処した。
(Security NEXT - 2024/06/07 )
ツイート
PR
関連記事
リモートアクセスツール「UltraVNC」に複数の脆弱性
「Dell PowerProtect Data Domain」に143件の脆弱性 - 修正版が公開
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
学生情報含む書類を宿泊施設に置き忘れて紛失 - 新潟県
持込用学習端末のECサイトにサイバー攻撃 - 個人情報流出の可能性
農業従事者情報を含むデータを誤送信 - フィルタ解除で閲覧可能
職員が執務室内の撮影してネット投稿、顧客情報も - 益田信組
社内システムが侵害、マルウェア感染の可能性 - ハンズHD
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
