200万に影響 WordPressで人気のカスタムフィールドプラグインに重要な脆弱性

WordPressのプラグインで人気の高いカスタムフィールドプラグインに重大なセキュリティ脆弱性が見つかった。これは200万以上のインストールがあるため大きな影響が予想される。該当する場合は迅速に更新することが望まれる。

[後藤大地，有限会社オングス]

　WordPressの人気プラグインである「Advanced Custom Fields」（ACF）に重大なセキュリティ脆弱（ぜいじゃく）性が存在するとPatchstackが報じた（脆弱性の発見者であるGMOサイバーセキュリティ byイエラエの山崎 啓太郎氏も同脆弱性をブログで解説している）。

　このプラグインは200万以上のアクティブインストールがあり、その影響範囲の広さが懸念されている。脆弱性はクロスサイトスクリプティングに関連したもので、認証を受けていないユーザーによる情報窃取や特権昇格が可能となる。

「WordPress Advanced Custom Fields Pro plugin <= 6.1.5 - Reflected Cross Site Scripting（XSS） vulnerability 」（出典：PatchstackのWebサイト）

Advanced Custom Fieldsに重要なセキュリティ脆弱性、更新を

　WordPressで人気の高いACFに重要なセキュリティ脆弱性が存在することがPatchstackによって伝えられた。このプラグインは200万を超えるアクティブインストールが確認されており、影響が広いことが懸念される。該当するプラグインを使っているユーザーは迅速にアップデートを適用することが望まれる。

　報告されたセキュリティ脆弱性は「CVE-2023-30777」として特定されている。このセキュリティ脆弱性はクロスサイトスクリプティング（XSS）の脆弱性とされており、悪用された場合は認証を受けていないユーザーによる情報窃取や、特権ユーザーをだましてWordPressサイトにおいて特権昇格を実施される危険性があるとされている。

　セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次の通りだ。

• Advanced Custom Fields 6.1.5およびこれより前のバージョン
• Advanced Custom Fields PRO 6.1.5およびこれより前のバージョン

　セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次の通りだ。

• Advanced Custom Fields バージョン6.1.6
• Advanced Custom Fields PRO バージョン6.1.6

　Patchstackは本セキュリティ脆弱性の深刻度を共通脆弱性評価システム（CVSS）v3で7.1と評価し重要（High）と位置付けている。

　Advanced Custom Fieldsプラグインを使うことでユーザーは迅速にカスタムフィールドをWebページに追加できる。便利なプラグインであり、広く使われている点に注意が必要だ。セキュリティ脆弱性が存在するバージョンを使い続けるのはリスクがある。該当するプロダクトを使用している場合は迅速にアップデートを適用し、ユーザーアカウントの設定を見直してほしい。