対象のお客様
この脆弱性は、Wordpressで会員制サイトを運用し、その会員制サイト運用の為にプラグイン「Ultimate Member」を利用しているお客様が対象です。
このプラグインを使用しないで会員制サイトを構築している場合は、対象ではありません。
現在弊社のお客様で、このプラグインを導入して会員制サイトを構築しているお客様はおりませんので、通知メールは送信していませんが、特に緊急性の高い脆弱性の為サポートサイトにてお知らせ致します。
お客様サイドで、このプラグインを導入されている場合は、直ちにアップデートしてください。
Ultimate Memberとは
「WordPress」において会員制サイトを運用するための支援機能を提供するプラグインで、会員制サイト作成プラグインの中でもユーザー権限管理機能が充実している為、人気の高いプラグインです。
脆弱性の概要
セキュリティ企業DefiantのWordfence脅威インテリジェンスチームは2023年6月29日にこのプラグインに含まれる特権昇格の脆弱性がサイバー攻撃に利用されていると報告されました。
少なくとも5件のIPアドレスを発信元とする攻撃が観測され、この攻撃者によって「wpenginer」「wpadmins」「wpengine_backup」「se_brutal」「segs_brutal」といったアカウントの作成を試行する活動が確認されているそうです。
この脆弱性が悪用された場合、サイト上でのユーザの役割を制御するwp_capabilitiesユーザメタ値がadministratorに設定され、未認証の攻撃者が管理者としてサイトに登録されてしまう可能性があります。
もし攻撃者のアカウントが管理者権限を持った場合、登録会員情報の漏洩だけでなく、お客様及び登録会員に対し様々な不利益が予想されます。
影響を受けるバージョン
2.6.6以前
対処方法
7月1日にリリースした2.6.7にて同脆弱性を解消したとしています。既に管理者権限を作成されてしまっている場合もある為、このプラグインを利用しているお客様は次の対応を直ちに行ってください。
- プラグインのアップデート
- 身に覚えのない管理者アカウントがないか確認
- セキュリティ機能を強化するプラグインの利用
またこの脆弱性を悪用してログイン入力を盗聴するマルウェアなどが設置されている可能性もあるとし、全ユーザーのパスワードをリセットし、全てのサイト会員へ対し事態の説明をする様に求められています。