東京電機大学(TDU)は2月26日、同学情報通信工学科の学生がWordPress用プラグインFile Managerの脆弱性を発見したと発表した。100万以上のサイトに影響がある重要な脆弱性としている。
同脆弱性を発見したのは、情報通信工学科の春間祐希氏。脆弱性(CVE-2024-0761)は、WordPress用プラグインFile Managerのバージョン7.2.1以前に存在するもの。CVSS 3.1における基本値は8.1で深刻度レベルは「重要」とされている。
この脆弱性は、タイムスタンプと4つのランダムな数字を使用するバックアップ ファイル名のアルゴリズムにおけるランダム性が不十分なため、攻撃者は.vmファイルがない構成でもバックアップ ファイルにアクセスできる可能性がある。これにより、バックアップを含む機密情報を奪取される可能性がある。
この脆弱性を解消するパッチ適用済みのバージョン「7.2.2」が公開されている。
