Patchstackによると、WooCommerce Amazon Affiliates(WZone)プラグインで複数のセキュリティ脆弱性が見つかりました。
AA-Teamが開発し、35,000件以上の販売実績を持つこのプレミアムWordPressプラグインは、Amazonアフィリエイトプログラムを通じてサイト所有者やブロガーがウェブサイトを収益化できるよう支援することを目的としています。
特定された脆弱性は深刻で、バージョン14.0.10を含むテスト済みのすべてのバージョンに影響し、さらにバージョン14.0.20以降にも影響する可能性があります。
重大な問題の一つは、認証済みの任意オプション更新の脆弱性で、CVE-2024-33549が割り当てられています。この欠陥により、認証済みユーザーが任意のWPオプションを更新でき、権限昇格につながる可能性があります。未修正のまま残っているこの脆弱性は、攻撃者がWordPressサイトへのより高いレベルのアクセスを得ることを可能にし、重大なセキュリティリスクをもたらします。
さらに、Patchstackの調査では、未認証および認証済みのSQLインジェクションという2種類のSQLインジェクション脆弱性が見つかり、それぞれCVE-2024-33544およびCVE-2024-33546が割り当てられました。
これらの脆弱性により、未認証および認証済みの両方のユーザーがWordPressデータベースに悪意のあるSQLクエリを注入でき、データ漏えいや改ざんにつながる可能性があります。これらの欠陥の深刻さは、このプラグインを使用しているサイト管理者が直ちに対応する必要があることを示しています。
Patchstackは、修正版が存在しないことを理由に、ユーザーに対してWZoneプラグインを無効化し削除するよう助言しています。
SQLセキュリティの詳細:SQL Serverでデータベースをバックアップおよび復元する方法
Patchstackがベンダーに連絡を試みたと報告されているにもかかわらず、返答は得られておらず、同社は脆弱性を公表し、ユーザー向けの保護策を提供するに至りました。
「アクションやプロセスを実装する際に最も重要なのは、権限またはロールの検証とnonceの検証を適用することです。権限またはロールのチェックはcurrent_user_can関数で検証でき、nonce値はwp_verify_nonceまたはcheck_ajax_refererで検証できます」 と、技術的な解説には記されています。
「SQLクエリの処理では、クエリを実行する前に、ユーザー入力を常に安全にエスケープし整形し、ユーザーにデータベース上のテーブルを更新する任意のアクセス権を決して与えないでください。」
画像 クレジット:T. Schneider / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/security-flaws-found-woocommerce/
