セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-52428】WordPressプラグインAds Booster by Ads Pro 1.12以前にLFI脆弱性が発見、高い深刻度で早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ads Booster by Ads Pro 1.12以前にLFI脆弱性を発見
• PHP Remote File Inclusionの制御不備による脆弱性
• CVSSスコア8.1の深刻度の高い脆弱性と評価

WordPressプラグインAds Booster by Ads Pro 1.12のLFI脆弱性

ScripteoはWordPressプラグインAds Booster by Ads Proにおいて、バージョン1.12以前に深刻な脆弱性が存在することを2024年11月18日に公開した。この脆弱性はPHP Remote File Inclusionの制御不備に起因するLocal File Inclusion（LFI）の問題であり、【CVE-2024-52428】として識別されている。^[1]

この脆弱性はCVSSv3.1において8.1のスコアが付与され、高リスクと評価されている。特に攻撃に特権やユーザーの操作を必要としない点が深刻度を高めており、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。

Patchstack Allianceの研究者Dimas Maulanaによって発見されたこの脆弱性は、CWE-98（PHP Remote File Inclusion）に分類されている。SSVCの評価によると、現時点で自動化された攻撃は確認されていないものの、システム全体に影響を与える可能性のある重大な技術的影響が指摘されている。

Ads Booster by Ads Pro 1.12の脆弱性詳細

脆弱性の詳細はこちら

Local File Inclusionについて

Local File Inclusion（LFI）とは、Webアプリケーションの脆弱性の一種で、攻撃者がサーバー上のローカルファイルを不正に読み取ることができる問題を指す。主な特徴として、以下のような点が挙げられる。

• サーバー上の機密ファイルへの不正アクセスが可能
• システム設定ファイルの露出リスクが存在
• 権限昇格攻撃の足がかりとして悪用される可能性

WordPressプラグインAds Booster by Ads Proで発見されたLFI脆弱性は、PHP Remote File Inclusionの制御不備に起因している。この脆弱性により攻撃者はサーバー上のファイルを不正に読み取ることが可能となり、CVSSスコア8.1という高い深刻度が示すように、システム全体のセキュリティに重大な影響を及ぼす可能性がある。

Ads Booster by Ads Proの脆弱性に関する考察

WordPressプラグインの脆弱性は、サイト運営者にとって深刻な脅威となる可能性が非常に高い。プラグインの更新管理が適切に行われていない場合、攻撃者によってサーバー上の機密情報が漏洩する可能性があり、さらなる攻撃の足がかりとして悪用されるリスクも存在するだろう。

今後は、プラグインのセキュリティ審査をより厳格化し、開発段階での脆弱性チェックを強化する必要がある。特にファイルインクルード機能を実装する際は、入力値の厳密なバリデーションやホワイトリスト方式の採用など、複数の防御層を設けることが重要になってくるだろう。

また、WordPress開発コミュニティ全体として、セキュリティベストプラクティスの共有や開発者向けの教育プログラムの充実が求められる。プラグイン開発者向けのセキュリティガイドラインを整備し、コードレビューの体制を強化することで、同様の脆弱性の発生を未然に防ぐことが期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-52428, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧