「WordPress」向けソーシャルログイン用プラグインに脆弱性 - パッチ未提供
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Social Connect」に脆弱性が明らかとなった。アップデートは提供されておらず、プラグインの公開も一時停止している。
同プラグインは、ソーシャルメディアのアカウントを利用してログイン認証を行うプラグイン。「同1.2」において認証のバイパスが可能となる脆弱性「CVE-2024-4393」が判明した。
プラグインを利用したソーシャルログインにおいて「OpenIDサーバ」を十分検証しておらず、攻撃者がメールアカウントにアクセスできる場合、サイト上の既存ユーザーとしてログインすることが可能だという。
DefiantのWordfenceは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。
脆弱性を修正したアップデートはリリースされておらず、WordPress.orgのプラグインディレクトリにおいて公開が一時停止されている。
(Security NEXT - 2024/05/08 )
ツイート
PR
関連記事
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
金融機関を装うフィッシングメールに警戒を - 報告が増加中
子会社で一部サーバがランサム被害、詳細を調査 - システムソフト
総務省の行政不服審査DB掲載裁決書に個人情報 - 沖縄県
燃料調達システムに不正アクセス、情報が流出 - 日本郵船
取引情報含むATMの記録ドライブ2台が所在不明 - ローソン銀
感染確認ツール「EmoCheck」に脆弱性 - Emotet収束、利用停止を
若年層向け合宿イベント「セキュキャン2026」のエントリーがスタート
「抹茶シリーズ」に脆弱性、アップデートで修正 - OSS版は動作検証用
Palo Alto、「Cortex XSOAR」など複数製品で脆弱性を修正
