複数のWordPressを管理するプラグイン「WP Umbrella」で重大な脆弱性(CVE-2024-12209)
複数のWordPressを管理するプラグイン「WP Umbrella(アンブレラ)」で重大な脆弱性(CVE-2024-12209)が発生しました。パッチがリリースされているので対象のバージョンへアップデートする事をお勧めします。
脆弱性のバージョン
2.17.0 までのすべてのバージョン
対策バージョン
2.17.1以上のバージョン
脆弱性の概要
CVE-2024-12209はCVSSスコア9.8と識別されます。
‘umbrella-restore’ アクションの ‘filename’ パラメータを介してローカル ファイル インクルードに対して脆弱です。
これにより、認証されていない攻撃者がサーバーに任意のファイルを含めて実行し、これらのファイル内の任意の PHP コードを実行できるようになります。
これは、画像やその他の「安全な」ファイル タイプをアップロードして含めることができる場合に、アクセス制御をバイパスしたり、機密データを取得したり、コードを実行したりするために使用できます。