WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
WordPressプラグイン「Registration & Login with Mobile Phone Number for WooCommerce」に脆弱性が明らかとなった。
同ソフトウェアは、ショッピングプラットフォーム「WooCommerce」向けに提供されているプラグインで、電話番号を用いた多要素認証機能などを追加できる。
認証を必要とすることなく任意のユーザーになりすますことが可能となる認証バイパスの脆弱性「CVE-2025-10484」が確認された。脆弱性によって、本人確認を適切に行わないままログイン処理を進めることができ、管理者になりすますこともできるという。
CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」と評価した。
開発元では、脆弱性を修正した「Registration & Login with Mobile Phone Number for WooCommerce 1.3.2」を提供しており、同バージョン以降へアップデートするよう呼びかけられている。
(Security NEXT - 2026/01/20 )
ツイート
PR
関連記事
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
「Apache Druid」に認証回避の深刻な脆弱性 - アップデート実施を
管理基盤「JetBrains Hub」に認証回避の深刻な脆弱性
「GitLab」にアップデート - 脆弱性15件を修正
「Ivanti EPM」に複数脆弱性 - 過去公表脆弱性とあわせて解消
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
BeyondTrustのリモート管理製品に深刻な脆弱性 - 修正版を提供
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
クライアント管理製品「FortiClientEMS」に深刻なSQLi脆弱性
Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
