「WordPress」のOAuth認証プラグイン2件に認証回避の脆弱性
コンテンツマネジメントシステム(CMS)である「WordPress」向けに提供されているminiOrange製のOAuth認証プラグインに脆弱性が明らかとなった。
「WP OAuth Server」は、OAuth認証のサーバ機能を提供し、「WordPress」のログイン情報を利用して他アプリケーションへのログインが可能となるプラグイン。同プラグインにおいて認証の回避が可能となる「CVE-2022-34149」が判明した。
さらに外部OAuthサーバのログイン情報をもとに「WordPress」のログイン機能を提供するプラグイン「OAuth 2.0 client for SSO」においても、認証をバイパスできる脆弱性「CVE-2022-34858」が明らかとなっている。
CVE番号を採番したPatchstackでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアをそれぞれ「7.5」「5.9」と評価。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、いずれも「9.8」とし、重要度を「クリティカル(Critical)」とレーティングしている。
同社は、脆弱性を修正した「OAuth 2.0 client for SSO 1.11.4」「WP OAuth Server 4.0.1」をリリース。利用者へアップデートを求めている。
(Security NEXT - 2022/08/29 )
ツイート
PR
関連記事
ConnectWise「ScreenConnect」のサーバコンポーネントに脆弱性
「Node.js」のアップデート、公開を延期 - 週内にリリース予定
「macOS Tahoe 26.2」で脆弱性47件を修正 - 「Safari」も更新
「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
「制御システムセキュリティカンファレンス2026」を2月に都内で開催
高校部活体験会申込フォームで個人情報が閲覧可能に - 群馬県
配達中に郵便物1束を紛失 - さいたま市内の郵便局
メルマガアカウント侵害、スパム送信踏み台に - サロン向け器具メーカー
ユニフォームに個人情報入りメモリ、洗濯業者から回収 - 関越病院
ハウステンボスへのサイバー攻撃 - 個人情報流出の可能性
