WordPress（ワードプレス）の複数のプラグインにサプライチェーン攻撃によるバックドアが仕掛けられる

2024年6月　海外のセキュリティ企業「Wordfence 」によると、 5 つのWordPressのプラグインのソース コードを変更し、プラグインを実行している WordPress製のWeb サイトで管理者権限を持つ新しいアカウントを作成する悪意のある PHP スクリプトを組み込む活動を警告しました。対象プラグインは「Social Warfare」「Blaze Widget 」「Wrapper Link Element」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks 」などが該当します。

悪意ある活動の概要

悪意のある脅威アクターが後述する複数のプラグインのソース コードを侵害し、データベースの認証情報を盗み出し、新しい悪意のある管理者ユーザーを作成してそのデータをサーバーに送り返すコードを挿入する活動

悪意のあるバックドアを仕込む活動が行われた期間

2024年の 6 月 21 日から 6 月 22 日

各プラグインでパッチがリリースされる

Wordfenceは侵害を発見するとすぐにプラグイン開発者に通知し、その結果、ほとんどの製品に対し
パッチがリリースされました。

Social Warfare

バージョン 4.4.6.4 から 4.4.7.1 が脆弱性に該当

(バージョン 4.4.7.3 で修正)

Blaze Widget

バージョン 2.2.5 から 2.5.2が脆弱性に該当

(バージョン 2.5.4 で修正)

Wrapper Link Element 

バージョン1.0.2 から 1.0.3 が該当

(バージョン 1.0.5 で修正)

Contact Form 7 Multi-Step Addon

 バージョン1.0.4 から 1.0.5が該当

(バージョン 1.0.7 で修正)

Simply Show Hooks

 バージョン1.2.1 から 1.2.2 が該当

(まだパッチ未リリース)

引用：Plugins on WordPress.org backdoored in supply chain attack