プラットフォーム
wordpress
コンポーネント
devvn-image-hotspot
修正版
1.2.6
Image Hotspot by DevVNプラグインは、WordPressサイトにおいてPHPオブジェクトインジェクションの脆弱性を抱えています。この脆弱性は、悪意のある攻撃者が、認証されたユーザー(Author権限以上)として、PHPオブジェクトを注入することを可能にします。影響を受けるバージョンは1.2.5以前です。開発者はバージョン1.2.6へのアップデートを推奨しています。
この脆弱性を悪用されると、攻撃者はWordPressサイト上でPHPオブジェクトを注入し、システムを制御する可能性があります。これにより、機密情報(データベースの内容、設定ファイルなど)が漏洩したり、悪意のあるコードが実行されたりするリスクがあります。特に、追加のプラグインやテーマにPHPオブジェクトの実行チェーンが存在する場合、攻撃者はファイル削除やコード実行といったより深刻な被害をもたらす可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は2024年8月24日に公開されました。現時点では、公開されているPoCは確認されていませんが、PHPオブジェクトインジェクションの脆弱性は、他のシステムにおいても悪用事例が存在するため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
WordPress websites utilizing the Image Hotspot by DevVN plugin, particularly those with multiple plugins or themes installed, are at elevated risk. Shared hosting environments where multiple WordPress instances share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'devvn_ihotspot_shortcode_func' /var/www/html/wp-content/plugins/image-hotspot/• wordpress / composer / npm:
wp plugin list --status=active | grep image-hotspot• wordpress / composer / npm:
wp plugin update image-hotspotdisclosure
エクスプロイト状況
EPSS
1.63% (82% パーセンタイル)
CISA SSVC
CVSS ベクトル
Image Hotspot by DevVNプラグインのバージョンを1.2.6以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、一時的な回避策として、WordPressのセキュリティプラグインを使用して、PHPオブジェクトのデシリアライゼーションを制限することを検討してください。また、信頼できないソースからの入力を厳密に検証し、デシリアライゼーションを避けるように設定を見直すことも重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
Actualice el plugin Image Hotspot by DevVN a la última versión disponible. Esto solucionará la vulnerabilidad de inyección de objetos PHP.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-7656は、Image Hotspot by DevVNプラグインのバージョン1.2.5以前で、悪意のあるPHPオブジェクトを注入できる脆弱性です。
はい、認証された攻撃者が機密情報を盗んだり、悪意のあるコードを実行したりする可能性があります。
Image Hotspot by DevVNプラグインをバージョン1.2.6以上にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、注意が必要です。
DevVNのウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。