セキュリティエンジニアが気になったニュースまとめ 2024/7/1～7/7

1 CVE-2024-6265 Detail
2 Remote Code Execution through dashboard PDF generation component
3 Apache HTTP Server 2.4.61 Released

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2024/7/1

CVE-2024-6265 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-6265

The UsersWP – Front-end login form, User Registration, User Profile & Members Directory plugin for WordPress plugin for WordPress is vulnerable to time-based SQL Injection via the ‘uwp_sort_by’ parameter in all versions up to, and including, 1.2.10 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query.

「WordPress」向けに提供されているプラグイン「UsersWP」に、Time-based SQL Injectionの脆弱性「CVE-2024-6265」が報告されています。ユーザ入力値に対するエスケープが不十分のため、SQLクエリーを追加されることでデータベースを不正に操作されるというものです。6/24時点で同脆弱性に対応したバージョン「1.2.11」が公開されていますので、本プラグインを利用している方は早急にアップデートする事を推奨します。

・同脆弱性に該当するバージョン
「1.2.10」までのすべてのバージョン

・参考情報
UsersWP
https://wordpress.org/plugins/userswp/#developers

Changeset 3106884
https://plugins.trac.wordpress.org/changeset/3106884

2024/7/1

Remote Code Execution through dashboard PDF generation component

https://advisory.splunk.com/advisories/SVD-2024-0701

In Splunk Enterprise versions below 9.2.2, 9.1.5, and 9.0.10 and Splunk Cloud Platform versions below 9.1.2312.109 and 9.1.2308.203, an authenticated user could execute arbitrary code through the dashboard PDF generation component.

Splunkのログ解析ツール「Splunk Enterprise」において、複数の脆弱性を対策したアップデート情報が公開されています。
上記は、ReportLab Toolkit (v3.6.1) Python ライブラリを利用したもので、細工したPDFファイルを利用することで、任意のコードを実行される可能性があるというものです。共通脆弱性評価システム「CVSSv3.1」のベーススコアでは「8.8」の「High」と評価されていますので、早急にアップデートすることを推奨します。その他にも、「Splunk Web」「REST API」などの複数のコンポーネントにもアップデートが提供されていますので、公式情報をご確認ください。

・参考情報
NIST
https://nvd.nist.gov/vuln/detail/CVE-2024-36984
https://nvd.nist.gov/vuln/detail/CVE-2023-33733

Splunk Security Advisories
https://advisory.splunk.com/advisories

IPA – 共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html

2024/7/3

Apache HTTP Server 2.4.61 Released

https://downloads.apache.org/httpd/Announcement2.4.html

A regression in the core of Apache HTTP Server 2.4.60 ignores some use of the legacy content-type based configuration of handlers. “AddType” and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.

The Apache Software Foundation は、「Apache HTTP Server」のバージョン「2.4.61」をリリースしました。本バージョンでは、バージョン「2.4.60」にて生じた問題「CVE-2024-39884」を修正したものになりますので、公式のベンダ情報をご確認の上、アップデートされることを推奨します。なお、「CVE-2024-39884」は、「AddType」や類似の設定に基づいたコンテンツタイプの一部が無視されることにより、ローカルコンテンツ（PHPスクリプト等）が、平文のソースコードとして窃取されるというものです。

・参考情報
Apache HTTP Server 2.4に対するアップデート（CVE-2024-39884）
https://jvn.jp/vu/JVNVU97454228/

The Apache HTTP Server Project
https://httpd.apache.org/

まとめのまとめ

今週は、「WordPress」のプラグインやSplunk製品、「Apache HTTP Server」などのセキュリティアップデートのリリース情報が公開されました。比較的利用者が多いと考えられる製品機器の情報を記載していますが、このような脆弱性の情報やセキュリティアップデートは日々行われています。最低限、自身が利用している製品機器についての情報収集やアップデート、パッチ適用などは怠らないように努めましょう。

担当：KK