CVE-2024-7568: 任意ファイルアクセス in WordPress Favicon Generator

この脆弱性は、攻撃者がWordPressサイトの管理者を騙し、悪意のあるリクエストを実行させることで、サーバー上の機密情報を含むファイルを削除できる可能性があります。これにより、ウェブサイトの機能停止、データの損失、さらにはサーバー全体の制御権の奪取につながる可能性があります。特に、重要なファイルや設定ファイルが削除された場合、復旧作業が困難になる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。

WordPress sites using the Favicon Generator plugin, particularly those with administrative users who may be susceptible to social engineering attacks. Shared hosting environments are at increased risk, as a compromised site can potentially impact other users on the same server.

• wordpress / composer / npm:

grep -r "output_sub_admin_page_0" /var/www/html/wp-content/plugins/favicon-generator/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin.php?page=favicon-generator-settings&action=delete_file  # Check for lack of CSRF protection

1. 2024-08-24Disclosure

   disclosure

1. 予約済み2024-08-06
2. 公開日2024-08-24
3. 更新日2024-08-26
4. EPSS 更新日2026-04-02

この脆弱性に対する最も効果的な対策は、Favicon Generatorプラグインの利用を停止し、代替プラグインへの移行です。プラグインのアップデートが提供されていないため、プラグインを完全に削除することが推奨されます。また、WordPressのセキュリティプラグインを導入し、CSRF対策を強化することも有効です。WAF（Web Application Firewall）を導入し、不正なリクエストを検知・遮断することも有効な対策となります。WordPressのバージョンを最新に保ち、他のプラグインやテーマにも脆弱性がないか定期的に確認することが重要です。