ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

WordPress プラグインにより、ユーザーは管理者になれる - パッチは早めに、パッチは頻繁に!

プラトン再発行
プラトン再発行

日付:

閲覧数: 89
by ポール・ダックリン

WordPress サイトを実行している場合、 究極のメンバー プラグインがインストールされている場合は、最新バージョンに更新していることを確認してください。

週末にかけて、プラグインの作成者がバージョンを公開しました 2.6.7、ユーザーによって説明された深刻なセキュリティ ホールにパッチを適用することになっています @softwaregeek WordPress サポート サイトで 次のように:

プラグインの重大な脆弱性 (CVE-2023-3460) を使用すると、認証されていない攻撃者が管理者として登録し、Web サイトを完全に制御できるようになります。 この問題はプラグイン登録フォームで発生します。 このフォームでは、登録するアカウントの特定の値を変更できるようです。 これには、 wp_capabilities Web サイト上でのユーザーの役割を決定する値。

このプラグインではユーザーがこの値を入力することはできませんが、このフィルターは簡単にバイパスできることが判明し、編集が可能になります。 wp_capabilities そして管理者になります。

言い換えれば、オンラインでアカウントを作成または管理する場合、ユーザーに表示されるクライアント側の Web フォームでは、ユーザーがスーパーパワーを設定することは公式には許可されていません。

しかし、バックエンド ソフトウェアは、意図的に不適切なリクエストを送信する不正なユーザーを確実に検出してブロックすることはできません。

プラグインは「絶対的な使いやすさ」を約束します

  究極のメンバー向けソフトウェア WordPress サイトがさまざまなレベルのユーザー アクセスを提供できるようにすることを目的としており、自身を 「WordPress に最適なユーザー プロファイルとメンバーシップ プラグイン」、そしてその広告宣伝文句で次のように宣伝しています。

WordPress 向けの #1 のユーザー プロフィールとメンバーシップ プラグイン。 このプラグインを使用すると、ユーザーは簡単にサインアップして Web サイトのメンバーになることができます。 このプラグインを使用すると、サイトに美しいユーザー プロフィールを追加でき、高度なオンライン コミュニティやメンバーシップ サイトの作成に最適です。 軽量で拡張性の高い Ultimate Member を使用すると、ユーザーが非常に簡単に参加してメンバーになることができるほぼすべての種類のサイトを作成できます。

残念ながら、プログラマーたちは、プラグインの使用の「絶対的な使いやすさ」と強力なセキュリティを両立させる自分たちの能力にそれほど自信を持っていないようです。

公式の回答 @softwaregeek からの上記のセキュリティ レポートに対して、同社はバグ修正プロセスを次のように説明しています [引用文 原文のまま]:

お客様から報告を受け、バージョン 2.6.3 以降、この脆弱性に関連する修正に取り組んでいます。 バージョン 2.6.4、2.6.5、2.6.6 ではこの脆弱性が部分的に解決されていますが、最良の結果を得るために WPScan チームと協力して取り組んでいます。 また、必要な詳細がすべて記載されたレポートも受け取ります。

以前のバージョンはすべて脆弱であるため、Web サイトを 2.6.6 にアップグレードし、最新のセキュリティと機能強化を取得するために今後も更新を続けることを強くお勧めします。

現在、残っている問題の修正に取り組んでおり、できるだけ早くさらなるアップデートをリリースする予定です。

いろんなところにバグが発生

悪名高き事件の最中にサイバーセキュリティの任務に就いていたとしたら Log4Shellの脆弱性 2021 年末のクリスマス休暇シーズン中には、ある種のプログラミングのバグには、最終的にパッチが必要なパッチが必要になる、などということがわかるでしょう。

たとえば、コード内の 28 か所でバッファ オーバーフローが発生し、不注意で 128 バイトのメモリを予約したが、最初は XNUMX と入力するつもりだった場合、その誤った数値を修正すれば、一度でバグを修正できます。

ただし、このバグはコード内の 28 か所での入力ミスが原因ではなく、いつでもどこでも XNUMX バイトが正しいバッファ サイズであるという思い込みによって引き起こされたと想像してください。

あなたとコーディング チームはソフトウェアの他の場所でバグを繰り返している可能性があるため、バグハンティングの延長セッションに慣れる必要があります。

そうすることで、同じまたは類似の間違いによって引き起こされた他のバグを見つけた場合に、迅速かつ積極的にさらなるパッチをプッシュすることができます。 (最初に何を探すべきかがわかっていれば、一般的にバグは見つけやすくなります。)

Log4J の場合、攻撃者は Log4J プログラマよりも先に、コード内の他の場所で関連するコーディングミスを見つけようと、コードの精査に着手しました。

幸いなことに、Log4J プログラミング チームは、 自分のコードをレビューした 関連するバグを積極的に修正するだけでなく、新しい概念実証エクスプロイトにも目を光らせていました。

いくつかの新しい脆弱性は、Log4J プログラマーに責任を持ってバグを公開することで得られる、より冷静な形式の遅延認識よりも、インターネットでの即時的な名声を明らかに好んだ、興奮したバグハンターによって公に明らかにされました。

最近の MOVEit コマンド インジェクションの脆弱性でも同様の状況が見られました。この脆弱性では、Clop ランサムウェア ギャングの関係者が、 ゼロデイバグ MOVEit の Web ベースのフロント エンドを利用して、犯罪者が企業の機密データを盗み、被害者を脅迫して「口止め料」を支払わせようとします。

MOVEit のメーカーである Progress Software は、ゼロデイに迅速にパッチを適用し、その後、 XNUMX番目のパッチ 独自のバグハンティング セッションで関連するバグを発見した後、そのすぐ後に XNUMX 番目のパッチを公開しました。そのとき、自称脅威ハンターが Progress が見逃していたさらに別の穴を発見しました。

悲しいことに、その「研究者」は、脆弱性を発見したことを公開することで自分の功績を主張することにしました。 誰でも誰でも見ることができます、プログレスに最初に対処するためにXNUMX日かXNUMX日を与えるのではなく。

これにより、Progress はこれがさらにゼロデイになると宣言せざるを得なくなり、Progress の顧客はソフトウェアのバグのある部分を約 24 時間完全にオフにする必要が生じました。 パッチが作成されました テスト済み。

この中の 究極のメンバー バグの状況を考えると、プラグインの作成者は、新たな悪用可能なホールが修正されるまでソフトウェアの使用を中止するよう顧客に明確にアドバイスした MOVEit の作成者ほど思慮深くありませんでした。

Ultimate Membersは、進行中のアップデートに注意するようユーザーにアドバイスしただけで、最近公開された2.6.7は、2023年2.6.3月中旬に最初に発見された問題に対する一連のバグ修正のXNUMX番目であり、そのときはXNUMXでした。現在のバージョン番号。

何をするか?

  • UltimateMember ユーザーの場合は、早急にパッチを適用してください。 プラグインのコーディング チームがこの問題に段階的に対処しているようであることを考えると、今後のアップデートに注意し、できるだけ早く適用するようにしてください。
  • あなたがサーバーサイドのプログラマである場合は、常に最悪の事態を想定してください。 送信された入力データの安全性を確保するために、ユーザーのブラウザで実行される HTML や JavaScript など、制御できないクライアント側のコードに依存しないでください。 入力を検証する、私たちがNaked Securityで言いたいように。 常に測定し、決して仮定しないでください。
  • プログラマーの場合は、バグが報告されたときに、関連する問題を幅広く検索してください。 あるプログラマが XNUMX つの場所で犯したコーディング エラーが、同じプログラマがプロジェクトの他の部分で作業しているか、他のプログラマが悪い習慣を「学習」しているか、間違った設計仮定に信頼して従っていることによって、別の場所でも再現される可能性があります。
スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.