セキュリティ企業 Wordfence からの情報によると、SNSシェアボタン設置 Social Warfare など 12 の WordPress プラグイン に、管理者ユーザが作成されてしまう脆弱性(バックドア)が発見されました。
当該プラグインをご利用されている場合、至急、下記対策の実施 もしくは 専門家等へのご相談 を強く推奨します。
- このプラグインの削除
- 許可されていないユーザがないか確認(あれば削除)
- マルウェアスキャンの実行
想定される事象
| 想定される被害 | このプラグインの当該バージョンでは、悪意のある第三者によって「新しい管理者ユーザーを作成してそのデータをサーバーに送り返すコード」が埋め込まれています。 新しい管理者ユーザーが作成されることで、以下のような深刻な被害が発生する恐れがあります。 ウェブサイトの完全な制御: 悪意のある第三者がWordPressサイトの管理者権限を得ることで、サイトの全ての機能やデータにアクセスできるようになります。 コンテンツの改ざん: 悪意のある第三者は管理者権限を利用して、ウェブサイトの内容を自由に変更できます。これには、悪意のあるコンテンツの追加やリンクの挿入なども含まれます。(サイト閲覧者にも被害拡大) 個人情報の流出: サイトに保存されているユーザーデータや顧客情報などの機密情報アクセスによる、外部流出。 マルウェアの配布: 悪意のある第三者は管理者権限を利用して、サイト訪問者のデバイスにマルウェアを感染させる可能性があります(被害者から加害者へ)。 サーバーリソースの不正利用: 攻撃者がサーバーリソースを使用して、他のサイトへの攻撃などを行う可能性があります(被害者から加害者へ)。 <2024年6月25日時点の情報> ・送信先IPアドレス 94.156.79.8 ・作成されてしまう既知の管理ユーザーアカウント名 Options PluginAuth |
|---|---|
| 影響を受けるバージョン | Social Warfare 4.4.6.4 – 4.4.7.1 BLAZE Retail Widget 2.2.5 – 2.5.2 Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 Simply Show Hooks 1.2.1 – 1.2.2 Wrapper Link Elementor 1.0.2 – 1.0.3 Seo Optimized Images 2.1.2 – 2.1.2 <2024/06/29 追加> Twenty20 Image Before-After 1.5.4 – 1.5.4、 1.6.2 – 1.6.2、 1.6.3 – 1.6.3 WP Server Health Stats 1.7.6 – 1.7.6 Ad Invalid Click Protector (AICP) 1.2.9 – 1.2.9 Pods – Custom Content Types and Fields 3.2.3 – 3.2.3 PowerPress Podcasting plugin by Blubrry 11.9.3 – 11.9.4 WPCOM Member 1.3.15 – 1.3.15、 1.3.16 – 1.3.16 |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2024-6297 / 2024/06/25 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 10.0 (深刻) [Wordfence] |
引用元
Several WordPress.org Plugins <= Various Versions – Injected Backdoor
Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins
Developer Accounts Compromised Due to Credential Reuse in WordPress.org Supply Chain Attack
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2023 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2023 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
当社の「WordPressセキュリティ対策お任せ保守パック」をご利用のお客様へ
WordPress セキュリティ対策保守パック
本件の影響を受ける可能性がある場合は、順次メールにて個別にご連絡をしております。
悪意のある第三者によって同様のコードが埋め込まれたプラグイン 情報 (2024年6月29日 17時 更新)
Social Warfare
| 最新版 バージョン | 4.4.7.3 (2024/06/24リリース) |
| 告知 | このプラグインの公開は2024年6月24日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 4.5.0またはそれ以降 検証済み最新バージョン : 6.5.5 |
| 有効インストール数 | 30,000+ |
| プラグイン ページ | Social Sharing Plugin – Social Warfare – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | Social Warfare: Your Ultimate Social Sharing Arsenal |
BLAZE Retail Widget
| 最新版 バージョン | 2.5.4 |
| 告知 | このプラグインの公開は2024年6月24日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 2.5.3またはそれ以降 検証済み最新バージョン : 5.3.18 |
| 有効インストール数 | 30+ |
| プラグイン ページ | BLAZE Retail Widget – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | BLAZE Cannabis Software | Cannabis Compliance Made Easy |
Contact Form 7 Multi-Step Addon
| 最新版 バージョン | 1.0.7 |
| 告知 | このプラグインの公開は2024年6月24日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 5.0またはそれ以降 検証済み最新バージョン : 6.5.5 |
| 有効インストール数 | 700+ |
| プラグイン ページ | Contact Form 7 Multi-Step Addon – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | ThemeREX – Best WordPress Themes – Niche Templates on themerex.net |
Simply Show Hooks
| 最新版 バージョン | 1.2.1 (最終更新 8年前) |
| 告知 | このプラグインの公開は2024年6月24日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 3.0またはそれ以降 検証済み最新バージョン : 4.6.29 |
| 有効インストール数 | 4,000+ (2024/3/2時点) |
| プラグイン ページ | Simply Show Hooks – WordPress プラグイン | WordPress.org 日本語 |
Wrapper Link Elementor
| 最新版 バージョン | 1.0.5 |
| 告知 | このプラグインの公開は2024年6月24日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 5.0またはそれ以降 検証済み最新バージョン : 6.2.6 |
| 有効インストール数 | 1,000+ |
| プラグイン ページ | Wrapper Link Elementor – WordPress プラグイン | WordPress.org 日本語 |
Seo Optimized Images
| 最新版 バージョン | 2.1.4 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 3.3またはそれ以降 検証済み最新バージョン : 6.5.5 |
| 有効インストール数 | 10,000+ |
| プラグイン ページ | SEO Optimized Images – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | Premium WordPress Theme for your Website |
Twenty20 Image Before-After
| 最新版 バージョン | 1.6.4 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 3.5またはそれ以降 検証済み最新バージョン : 6.1.7 |
| 有効インストール数 | 30,000+ |
| プラグイン ページ | Twenty20 Image Before-After – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | Zayed Baloch – Web Developer |
WP Server Health Stats
| 最新版 バージョン | 1.7.8 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 5.0またはそれ以降 検証済み最新バージョン : 6.4.5 |
| 有効インストール数 | 10,000+ |
| プラグイン ページ | WP Server Health Stats – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | Saumya Majumder — Software Engineer, Problem Solver & WordPress Expert |
Ad Invalid Click Protector (AICP)
| 最新版 バージョン | 1.2.11 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 4.9またはそれ以降 検証済み最新バージョン : 6.3.5 |
| 有効インストール数 | 30,000+ |
| プラグイン ページ | Ad Invalid Click Protector (AICP) – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | Acnam – Providing worry free WordPress website experience |
Pods – Custom Content Types and Fields
| 最新版 バージョン | 3.2.2 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 6.0またはそれ以降 検証済み最新バージョン : 6.5.5 |
| 有効インストール数 | 100,000+ |
| プラグイン ページ | Pods – Custom Content Types and Fields – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | About the Pods Framework – Pods Framework |
PowerPress Podcasting plugin by Blubrry
| 最新版 バージョン | 11.9.7 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 3.6またはそれ以降 検証済み最新バージョン : 6.5.5 |
| 有効インストール数 | 40,000+ |
| プラグイン ページ | PowerPress Podcasting plugin by Blubrry – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | Blubrry Podcast Platform |
WPCOM Member
| 最新版 バージョン | 1.3.17 |
| 告知 | このプラグインの公開は2024年6月28日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
| 対象 WordPress バージョン | 6.1またはそれ以降 検証済み最新バージョン : 6.5.5 |
| 有効インストール数 | 2,000+ |
| プラグイン ページ | WPCOM Member – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | https://www.wpcom.cn/ |
