Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

WP向けプラグイン「Social Login」に認証回避の脆弱性

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Social Login」に深刻な脆弱性が明らかとなった。

同ソフトウェアは、クラウドサービスやSNSのアカウントなどを用いたいわゆる「ソーシャルログイン」の機能を追加するプラグイン

「同5.9.0」および以前のバージョンに、トークンで返されるユーザーの確認が不十分である点に起因し、認証を回避できる脆弱性「CVE-2024-10961」が明らかとなったもの。

攻撃者がメールアドレスを把握しており、対象ユーザーがトークンを提供するサービスに既存アカウントを持っていない場合に悪用されるおそれがあるという。

CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価し、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。

現地時間11月24日の時点で脆弱性を修正するパッチはリリースされておらず、一時公開が中止されている。Defiantではプラグインの使用を停止し、代替手段を検討することなども挙げている。

(Security NEXT - 2024/11/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

クレカ決済データ2.5万件超をメールで店舗に誤送信 - 東急モールズD
個人情報含むPCを電車内に置き忘れ、データは暗号化 - 埼玉県
無関係企業に個人情報を誤送信、システム改修時に不具合 - ふるさと島根定住財団
発電事業投資の関連システムに攻撃、詳細を調査 - みずほリース
外部クラウドからユーザー属性情報が流出、原因を調査 - TOKYO FM
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
国内で「MongoBleed」悪用被害は未確認 - 攻撃増加に要警戒
Veeamバックアップ製品に深刻な脆弱性 - 推奨環境ではリスク低減
「Chrome」にセキュリティアップデート - 脆弱性1件を修正
システムにサイバー攻撃、患者情報など流出のおそれ - 徳島大病院

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.