「WooCommerce」向けソーシャルログインプラグインに脆弱性 - パッチ未提供

コンテンツマネジメントシステム（CMS）の「WordPress」で動作するeコマースプラットフォーム「WooCommerce」向けに提供されているプラグインに脆弱性が明らかとなった。脆弱性を修正するアップデートなどは用意されておらず、注意が必要だ。

SNSアカウントなどを利用したログイン機能を提供する「Social Login Lite For WooCommerce plugin」においてユーザーの検証が不十分であり、認証のバイパスが可能となる脆弱性「CVE-2024-4552」が明らかとなったもの。

攻撃者がメールへアクセスできる場合、脆弱性を悪用することが可能で、管理者をはじめ既存利用者としてログインすることが可能となる。

「同1.6.0」および以前のバージョンに影響があり、DefiantのWordfenceでは共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングした。

6月4日の時点で脆弱性を修正するパッチは提供されていない。WordPress.orgのプラグインディレクトリでは5月31日より同プラグインの公開が一時中止されている。

（Security NEXT - 2024/06/05 ）ツイート