WordPressの人気アカウントプラグインにCVSS9.8の脆弱性 直ちに更新を

WordPressのプラグイン「Ultimate Member」に特権昇格の脆弱性が見つかった。同脆弱性はサイバー攻撃に積極的に利用されているため注意が必要だ。

[後藤大地，有限会社オングス]

　セキュリティ企業DefiantのWordfence脅威インテリジェンスチームは2023年6月29日（現地時間）、CMS「WordPress」のプラグイン「Ultimate Member」に含まれる特権昇格の脆弱（ぜいじゃく）性がサイバー攻撃にアクティブに利用されていると報告した。

Wordfence脅威インテリジェンスチームはUltimate Memberの脆弱性について注意を促した（出典：DefiantのWebサイト）

CVSSスコア値は9.8　直ちにアップデート適用を

　Ultimate Memberは20万以上のWebサイトにインストールされているWordPressプラグインだ。ユーザー登録とアカウント管理機能を実現するプラグインで、これを使うことでユーザーがサインアップしてWebサイトのメンバーになる処理を簡単に実行できるようになる。

　今回Ultimate Memberに見つかったのは、特権昇格の脆弱性で「CVE-2023-3460」として特定されている。共通脆弱性評価システム（CVSS）のスコア値は9.8で深刻度「緊急」（Critical）に分類されているため注意が必要だ。

　Ultimate Memberはサインアップフォーラムにおいて不正行為が実行されないようにフィルター機能が用意されている。しかしWordfence脅威インテリジェンスチームは、スラッシュや文字エンコーディングなどを利用することで設定されたフィルター機能をバイパスすることが可能だと指摘している。この脆弱性を利用することでユーザーを「管理者」に設定でき、結果としてユーザーに対して完全なアクセス権を付与してしまうとされている。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Ultimate Member WordPressプラグイン version 2.6.6およびこれ以前のバージョン

　本稿執筆段階ではすでに「Ultimate Member WordPressプラグイン version 2.6.7」が公開されている。該当プラグインを使用している場合は急ぎ最新版にアップデートすることが推奨される。

　Ultimate Memberプラグインは20万を超えるWebサイトにインストールされており、かつ、簡単に悪用できることから注意が必要だ。最新バージョンが公開されるまでの間にゼロデイの脆弱性としてサイバー攻撃者に悪用されていた可能性がある。該当するプラグインを使用している場合、迅速な最新バージョンへのアップデートや、悪用された痕跡がないかどうか確認することが望まれる。