WordPress向けソーシャルログイン用プラグインに深刻な脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているminiOrange製プラグイン「WordPress Social Login and Register」に深刻な脆弱性が明らかとなり、アップデートにて修正された。実証コードも公開されている。
同ソフトウェアは、大手サービスやSNSなどのアカウントを用い、「WordPress」へのログインが可能となるいわゆる「ソーシャルログイン」の機能を追加するプラグイン。「WooCommerce」「MailChimp」など他プラグインとの連携にも対応している。
同プラグインでは、暗号化に用いるキーをハードコードしている脆弱性「CVE-2023-2982」が存在。既存利用者のメールアドレスを把握していれば、リモートより認証を突破してログインが可能となる。管理者などのアカウントも対象で、ウェブサイトそのものを乗っ取られるおそれもある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
「同7.6.4」で部分的な修正が実施され、6月14日にリリースされた「同7.6.5」にて完全に修正された。現地時間6月28日に研究者より脆弱性の詳細や実証コードが公開されている。
(Security NEXT - 2023/06/29 )
ツイート
PR
関連記事
職業性曝露事故の関係者情報含むUSBメモリが所在不明 - 秋田大病院
メルアカ乗っ取り被害、スパム送信の踏み台に - MaOI機構
RSSフィードが改ざん、外部サイトのリンク混入 - リョーサン菱洋HD
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Erlang/OTP」「RoundCube」の既知脆弱性が標的に - 米当局が注意喚起
情報セキュリティ教室の参加者一覧が閲覧可能に - NII
採用職員の健診関連情報含む名簿を誤送信 - 奈良県
クレカ不正利用、前四半期比2割増 - 200億円迫る勢い
QNAP、アドバイザリ9件を公開 - 複数脆弱性を修正
アプリ生成「Lovable」に脆弱性 - 生成プロジェクトに影響
