WordPress向けソーシャルログイン用プラグインに深刻な脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているminiOrange製プラグイン「WordPress Social Login and Register」に深刻な脆弱性が明らかとなり、アップデートにて修正された。実証コードも公開されている。
同ソフトウェアは、大手サービスやSNSなどのアカウントを用い、「WordPress」へのログインが可能となるいわゆる「ソーシャルログイン」の機能を追加するプラグイン。「WooCommerce」「MailChimp」など他プラグインとの連携にも対応している。
同プラグインでは、暗号化に用いるキーをハードコードしている脆弱性「CVE-2023-2982」が存在。既存利用者のメールアドレスを把握していれば、リモートより認証を突破してログインが可能となる。管理者などのアカウントも対象で、ウェブサイトそのものを乗っ取られるおそれもある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
「同7.6.4」で部分的な修正が実施され、6月14日にリリースされた「同7.6.5」にて完全に修正された。現地時間6月28日に研究者より脆弱性の詳細や実証コードが公開されている。
(Security NEXT - 2023/06/29 )
ツイート
PR
関連記事
若年層向け合宿イベント「セキュキャン」が参加者募集をまもなく開始
臨時業務用PC2台を紛失、リース返却時に判明 - 栃木県
約6万件のスパム、森林研究所メルアカが不正利用 - 富山県
GeoVision製EOL機器に対する脆弱性攻撃が発生 - 米当局が注意喚起
RadwareのクラウドWAFに脆弱性 - フィルタ回避のおそれ
「PR TIMES」にサイバー攻撃 - IPアドレス制限や複数認証を突破
Cisco IOS XE無線LANコントローラに脆弱性 - root権限奪取のおそれ
SonicWall「SMA100」シリーズに脆弱性 - 初期化やファイル書き込みのおそれ
県立校でメール誤送信、メアド入力やPW設定でミス重なる - 新潟県
委託先海外駐在員が業務用PCとスマホを盗まれる - 宮城県