WordPressのマーケティング自動化プラグイン「Automation By Autonami」のバージョン3.2.2(2024/9/5リリース)以前に、深刻なセキュリティ脆弱性が発見されました。
この脆弱性により、悪意のある第三者が認証不要で、データベースに不正なSQLコマンドを実行できる状態となっています。早急な対策が必要となりますので、直ちに対策バージョン3.3.0(2024/10/22リリース)以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような深刻な被害が発生する可能性があります ・データベース内の情報漏洩 ・顧客情報の窃取 ・データベースの改ざん ・サイトの動作不具合や遅延 ・最悪の場合、サイト全体の改ざんやサーバーの乗っ取り |
|---|---|
| 技術的な詳細 | この脆弱性は、プラグインにおける「bwfan-track-id」パラメータの不適切な処理に起因します。入力値のチェックや無害化処理が行われていないため、攻撃者が不正なSQLコマンドを実行できる状態となっています。 |
| 脆弱性の種類 | CWE-89 SQLインジェクション |
| 重要な推奨事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) 緊急の対策 ・プラグインを最新バージョンに直ちに更新 (2) 被害確認 ・「bwfan-track-id」パラメータを含むアクセスログの確認(攻撃の痕跡の特定) ・「/autonami-app/v3/contacts/」へのアクセスログの確認 ⇒不審な動作や変更が見つかった場合は、専門家への相談を推奨します。 |
| 影響を受けるバージョン | Automation By Autonami 3.2.2(2024/9/5リリース) を含む、それ以前のバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2024-9186 / 2024/11/14 |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Automation By Autonamiプラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨事項」の旨のメールを順次ご案内しております。
WordPress プラグイン Automation By Autonami 情報 (2024年11月15日 12時点)
| 最新版 バージョン | 3.3.3 (2024/10/28 リリース) |
|---|---|
| 対象 WordPress バージョン | 5.0 またはそれ以降 検証済み最新バージョン : 6.7.0 |
| 有効インストール数 | 20,000+ |
| プラグイン ページ | Recover WooCommerce Cart Abandonment, Newsletter, Email Marketing, Marketing Automation By FunnelKit – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ | FunnelKit – #1 Rated Sales Funnel Builder For WordPress & WooCommerce |
