WordPress プラグインの MailPoet Newsletters における任意のファイルをアップロードされる脆弱性（Scan Tech Report）

WordPress プラグインである MailPoet Newsletters には、任意のファイルをアップロードされる脆弱性が存在します。当該脆弱性を悪用されると、第三者に WordPress の動作権限で任意のファイルをアップロードされてしまいます。

脆弱性と脅威エクスプロイト

2014.7.23 Wed 8:00

1.概要
WordPress プラグインである MailPoet Newsletters には、任意のファイルをアップロードされる脆弱性が存在します。当該脆弱性を悪用されると、第三者に WordPress の動作権限で任意のファイルをアップロードされてしまいます。
フィッシングサイトや WebShell を設置される可能性があるため、影響を受けるバージョンの MailPoet Newsletters を使用するユーザは、可能な限り以下の対策を実施することを推奨します。

2.深刻度(CVSS)
7.5
http://nvd.nist.gov/cvss.cfm?version=2&name=&vector=(AV:N/AC:L/AU:N/C:P/I:P/A:P)
※ CVE-ID 未割り当てのため、上記は筆者の評価

3.影響を受けるソフトウェア
MailPoet Newsletters 2.6.7 およびそれ以前のバージョン

なお、開発者は 2014/7/8 に、古いバージョンにもセキュリティ Fix を適用したとコメントしています(*1)。筆者が 7/13 に 2.6.7 および 2.6.6 をダウンロードし、エクスプロイトを実行したところ、本脆弱性を悪用した攻撃が成功しませんでした。

(*1): https://plugins.trac.wordpress.org/browser/wysija-newsletters?rev=944747

4.解説
MailPoet Newsletters は、WordPress にメールマガジンの配信や管理の機能を提供するプラグインです。MailPoet Newsletters には、第三者が WordPress の動作権限で任意のファイルをアップロード可能な脆弱性が存在します。

プラグイン API の admin_init の使用方法に不備があり、認証されていないユーザであっても、プラグインのテーマのアップロードが可能でした。開発者は、2014/7/1 に本脆弱性を修正した 2.6.7 がリリースしましたが、修正漏れがあったため(*2)、7/4 に 2.6.8 がリリースされています。

本脆弱性を悪用されると、任意のプラグインのテーマがアップロードされます。テーマの中に PHP ファイル(WebShell)が含まれていると、攻撃対象のサーバにおいて、WordPress の動作権限で任意の PHP コマンドを実行される可能性があります。

(*2): http://packetstormsecurity.com/files/127363/Wordpress-MailPoet-wysija-newsletters-Unauthenticated-File-Upload.html

5.対策
MailPoet Newsletters を 2.6.8 以降にアップデートすることで、この脆弱性を解消することが可能です。下記ページより、最新バージョンが入手可能です。
また、WordPress の管理画面からも当該プラグインをアップデートできます。

https://wordpress.org/plugins/wysija-newsletters/changelog/

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー・グリッド研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html