「WordPress」向けソーシャルログイン用プラグインに脆弱性 - パッチ未提供
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Social Connect」に脆弱性が明らかとなった。アップデートは提供されておらず、プラグインの公開も一時停止している。
同プラグインは、ソーシャルメディアのアカウントを利用してログイン認証を行うプラグイン。「同1.2」において認証のバイパスが可能となる脆弱性「CVE-2024-4393」が判明した。
プラグインを利用したソーシャルログインにおいて「OpenIDサーバ」を十分検証しておらず、攻撃者がメールアカウントにアクセスできる場合、サイト上の既存ユーザーとしてログインすることが可能だという。
DefiantのWordfenceは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。
脆弱性を修正したアップデートはリリースされておらず、WordPress.orgのプラグインディレクトリにおいて公開が一時停止されている。
(Security NEXT - 2024/05/08 )
ツイート
PR
関連記事
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ
GitLab、バグ報奨金プログラムで報告された脆弱性6件を解消
個人情報約60万件が詐欺グループに - 個情委が名簿事業者に行政指導
「Adobe Commerce」「Magento」に深刻な脆弱性 - Adobeと外部で温度差
MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応
「情報セキュリティ白書2025」PDF版を先行公開 - 書籍は9月30日発売
ニッケがサイバー攻撃被害 - ダークウェブで流出情報を確認
SAP、9月月例パッチで新規21件を公開 - 深刻な脆弱性も
