WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
WordPressプラグイン「Registration & Login with Mobile Phone Number for WooCommerce」に脆弱性が明らかとなった。
同ソフトウェアは、ショッピングプラットフォーム「WooCommerce」向けに提供されているプラグインで、電話番号を用いた多要素認証機能などを追加できる。
認証を必要とすることなく任意のユーザーになりすますことが可能となる認証バイパスの脆弱性「CVE-2025-10484」が確認された。脆弱性によって、本人確認を適切に行わないままログイン処理を進めることができ、管理者になりすますこともできるという。
CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」と評価した。
開発元では、脆弱性を修正した「Registration & Login with Mobile Phone Number for WooCommerce 1.3.2」を提供しており、同バージョン以降へアップデートするよう呼びかけられている。
(Security NEXT - 2026/01/20 )
ツイート
PR
関連記事
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
HPEのライセンス管理製品に認証回避の脆弱性 - 修正版が公開
ウェブフレームワーク「Qwik」に深刻な脆弱性 - 修正版が公開
「PTXシリーズ」搭載の「Junos OS Evolved」に深刻な脆弱性
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
