WPプラグイン「WooCommerce Social Login」に複数の脆弱性
WordPress向けプラグイン「WooCommerce Social Login」に複数の脆弱性が明らかとなった。
同プラグインは、eコマースプラットフォームである「WooCommerce」向けに提供されているソーシャルログイン用プラグイン。あらたに3件の脆弱性が判明した。
「CVE-2024-6636」は、アカウント登録時にデフォルトのロールを管理者へ変更できる脆弱性。DefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」において「CVE-2024-6636」のベーススコアを「9.8」とし、重要度を「クリティカル(Critical)」とレーティングしている。
さらにユーザーのメールアドレスを知っている場合、管理者以外の既存ユーザーとしてログインすることが可能となる「CVE-2024-6635」、ワンタイムパスワードに対するブルートフォース攻撃が可能となる「CVE-2024-6637」が明らかとなった。ともにCVSS基本値を「7.3」、重要度を「高(High)」と評価している。
開発者は「同2.7.4」にてこれら脆弱性を修正。アップデートが呼びかけられている。同プラグインに関しては、6月から7月にかけて影響の大きいPHPオブジェクトインジェクションの脆弱性「CVE-2024-37502」「CVE-2024-5871」なども判明し、修正されている。
(Security NEXT - 2024/07/23 )
ツイート
PR
関連記事
元職員が鉱業権者情報を持出、不正利用ないことを確認 - JOGMEC
委託先がランサム被害、一部プレゼント応募者情報が流出 - 京都新聞
HPEのライセンス管理製品に認証回避の脆弱性 - 修正版が公開
NVIDIAのネットワークOSに複数の脆弱性 - アップデートが公開
AIエージェント「MS-Agent」にプロンプトインジェクションの脆弱性
ウェブフレームワーク「Qwik」に深刻な脆弱性 - 修正版が公開
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
メルアカに不正ログイン、フィッシングの踏み台に - じほう
個人情報含む書類を異なる金融機関へ誤送付 - 愛知のケーブルTV局
ブラウザ「MS Edge」にセキュリティ更新 - 脆弱性3件を修正
