WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
WordPressプラグイン「Registration & Login with Mobile Phone Number for WooCommerce」に脆弱性が明らかとなった。
同ソフトウェアは、ショッピングプラットフォーム「WooCommerce」向けに提供されているプラグインで、電話番号を用いた多要素認証機能などを追加できる。
認証を必要とすることなく任意のユーザーになりすますことが可能となる認証バイパスの脆弱性「CVE-2025-10484」が確認された。脆弱性によって、本人確認を適切に行わないままログイン処理を進めることができ、管理者になりすますこともできるという。
CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」と評価した。
開発元では、脆弱性を修正した「Registration & Login with Mobile Phone Number for WooCommerce 1.3.2」を提供しており、同バージョン以降へアップデートするよう呼びかけられている。
(Security NEXT - 2026/01/20 )
ツイート
PR
関連記事
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
「OpenStack」の認証ミドルウェアに脆弱性 - 権限昇格やなりすましのおそれ
コンテナ管理ツール「Arcane」にRCE脆弱性 - 最新版で問題機能を削除
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
Palo Alto「PAN-OS」のリモートアクセス機能にDoS脆弱性
Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開
「FortiOS」にバッファオーバーフローの脆弱性 - アップデートで修正
富士通製パソコンの同梱認証ソフトに脆弱性 - 修正版が公開
