過去5月末にセキュリティ会社であるWordfenceで有料 WordPress プラグインConvert Plusに脆弱性を発見した。 Convert Plusの3.4.2以下のバージョンでは、これらのセキュリティ欠陥への攻撃に対して脆弱です。 このプラグインを使用するすべてのユーザーは、すぐに3.4.3以降にアップデートする必要があります。
Convert Plusは10万以上のサイトでインストールされて使用されているものと推定される人気のプレミアムポップアッププラグインです。 このプラグインを使用してモーダルポップアップ、info barなどをサイト訪問者に表示して電子メールの購読、クーポンコードなどのさまざまなCTA(Call-To-Action)を適用することができます。
新しいサブスクライバを処理するためのフォーム(form)を設定する場合は、管理者は、提供されている電子メールに接続されている WordPress ユーザーロールを定義できます。 デフォルトでは、この値は「None」であり、ユーザーは作成されませんが、サイト所有者はこれらのフォームで新しい購読者のアカウントや他のアカウントを作成できます。 管理者の役割は例外です。 プラグインは、ドロップダウンメニューを作成するときに利用可能な役割のリストから管理者を削除します。
しかし、脆弱性が存在するが、プラグインのバージョンでは、提出時に意図したユーザーの役割は、DBからFetchいません。 代わりに、この設定は、 cp_set_userという隠しフィールドに反映されました。 この値は、サブスクリプションの残りの項目と同じHTTPリクエストによって提供されるため、ユーザのによって変更されることがあります。
悪意のあるユーザーが、サブスクリプションフォームを送信して cp_set_userを「administrator」に変更すると、プラグインはそのEメールアドレスに関連付けられている管理者アカウントを作成します。 新しいアカウントのパスワードはランダムに割り当てられますが、攻撃者は通常のパスワードリセットプロセスによって悪意を持って作成された管理者アカウントにアクセスする可能性があります。
Convert Plusプラグインの脆弱性を悪用して、管理者アカウントを作成する過程を、以下のデモ動画で確認することができます。
Convert Plusプラグインは、 The7 などプレミアムテーマにバンドルされてもいます。 このプラグインを使用している場合は、バージョンをチェックして、必ず3.4.3以降にアップデートしてください。 有料テーマに含まれているプラグインの場合、テーマ販売者に連絡して最新バージョンを必要することができます。
再三強調する内容であるが、安全 WordPress サイトを運営するために1)常に最新のバージョンに WordPress、テーマ、プラグインを更新して、2)定期的にバックアップしてください。 そして iThemes Security私Wordfence Securityなどのセキュリティプラグインをインストールすると役立ちます。
このプラグインの脆弱性の詳細な技術的な内容は、 Wordfenceブログ記事を参照してください。
コメントを残す