プラットフォーム
wordpress
コンポーネント
hurrakify
修正版
2.4.1
Hurrakify WordPressプラグインにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。この脆弱性は、攻撃者がHurrakifyを通じてサーバーに不正なリクエストを送信し、内部リソースへのアクセスを試みることを可能にします。影響を受けるバージョンは2.4以下です。2.4.1へのアップデートで修正されています。
このSSRF脆弱性を悪用されると、攻撃者は内部ネットワーク上の機密情報にアクセスしたり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。例えば、内部APIエンドポイントへのアクセス、クラウドメタデータサービスへのアクセス、さらには内部サービスへの攻撃などが考えられます。攻撃者は、Hurrakifyプラグインを通じて、本来アクセスできないはずの内部リソースにアクセスし、情報漏洩やシステムへの影響を引き起こす可能性があります。
この脆弱性は2024年12月13日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は悪用が容易なため、注意が必要です。CISA KEVカタログへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照し、最新の状況を把握することが重要です。
WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Serverdisclosure
エクスプロイト状況
EPSS
32.44% (97% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Hurrakifyプラグインをバージョン2.4.1にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、Hurrakifyプラグインの設定で、アクセス可能なURLを制限するなどの対策も有効です。プラグインのアップデート後、内部リソースへの不正アクセスがないか、アクセスログなどを確認し、脆弱性が解消されていることを確認してください。
Hurrakify プラグインを最新バージョンにアップデートしてください。修正バージョンが利用できない場合は、アップデートが公開されるまでプラグインを無効化することを検討してください。プラグインの開発者に連絡し、修正を依頼してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-54330は、Hurrakify WordPressプラグインにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。攻撃者はこの脆弱性を利用して、内部リソースにアクセスする可能性があります。
バージョン2.4以下を使用している場合、影響を受ける可能性があります。攻撃者は内部リソースにアクセスし、情報漏洩やシステムへの影響を引き起こす可能性があります。
Hurrakifyプラグインをバージョン2.4.1にアップデートしてください。アップデートがすぐに利用できない場合は、WAFなどの対策を講じてください。
現時点では公的なPoCは確認されていませんが、SSRF脆弱性は悪用が容易なため、注意が必要です。
Hurrakifyの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。