WP向けプラグイン「Social Login」に認証回避の脆弱性

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「Social Login」に深刻な脆弱性が明らかとなった。

同ソフトウェアは、クラウドサービスやSNSのアカウントなどを用いたいわゆる「ソーシャルログイン」の機能を追加するプラグイン

「同5.9.0」および以前のバージョンに、トークンで返されるユーザーの確認が不十分である点に起因し、認証を回避できる脆弱性「CVE-2024-10961」が明らかとなったもの。

攻撃者がメールアドレスを把握しており、対象ユーザーがトークンを提供するサービスに既存アカウントを持っていない場合に悪用されるおそれがあるという。

CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価し、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

現地時間11月24日の時点で脆弱性を修正するパッチはリリースされておらず、一時公開が中止されている。Defiantではプラグインの使用を停止し、代替手段を検討することなども挙げている。

（Security NEXT - 2024/11/25 ） ツイート

PR

関連記事

「MS Edge」にセキュリティアップデート - 脆弱性2件を解消
「Chrome」にアップデート、脆弱性3件を修正
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正
「Elastic Cloud Enterprise」に深刻な脆弱性 - アップデートやIoCを公開
アサヒグループHD、ランサム被害の影響で決算発表延期
PC廃棄委託先に不備、ネット接続検知から発覚 - ぼんち
予約サイトで個人情報流出の可能性 - 医学製薬関係者向け旅行会社
児童情報含む私物USBメモリを紛失、小学校教諭を処分 - 北海道
「認知症サポーター養成講座」の案内メールを誤送信 - 藤沢市
ビジネスプランコンテストの応募システムに不備、改修時に発生 - 日本政策金融公庫