WordPressの複数プラグインにCVSS10.0の脆弱性 修正版リリースなしのため注意：セキュリティニュースアラート

WordPressの「InPost PL」と「InPost for WooCommerce」プラグインに重大な脆弱性が見つかった。CVSS v3.1のスコア値は10.0で深刻度「緊急」（Critical）と評価されているため迅速な対応が必要だ。

[後藤大地，有限会社オングス]

　Wordfenceの脅威インテリジェンスチームは2024年8月16日（現地時間）、「WordPress」のプラグイン「InPost PL」および「InPost for WooCommerce」に重大な脆弱（ぜいじゃく）性が存在することを報告した。

WordPressのプラグインにCVSS 10.0の脆弱性　速やかな対応を

　約1万のWordPressサイトが影響を受ける可能性があるとされるこの脆弱性が攻撃者に悪用されるとWebサイトが乗っ取られたり、リモートコード実行などのリスクが生じる可能性がある。

　見つかった脆弱性は「CVE-2024-6500」として特定されている。共通脆弱性評価システム（CVSS） v3.1のスコア値は10.0で深刻度「緊急」（Critical）と評価しており注意が必要だ。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• InPost PL WordPress プラグイン version 1.4.4およびこれ以前のバージョン
• InPost for WooCommerce WordPress プラグイン version 1.4.0およびこれ以前のバージョン

　分析によると、InPost for WooCommerceおよびInPost PLプラグインにおいて認証されていない攻撃者が「Windows」サーバの任意のファイルを読み取ったり削除したりすることが可能とされている。「Linux」サーバについては削除はWordPressインストール内のファイルに限定されるが、全てのファイルの読み取りが可能とされている。

　脆弱性が修正されたバージョンは以下の通りだ。

• InPost PL WordPress プラグイン version 1.4.5およびこれ以降のバージョン

　InPost for WooCommerceについては修正版はリリースされておらず、WordPress.orgリポジトリーから削除されている。InPost for WooCommerceをまだ利用している場合は速やかに削除することが強く推奨されている。

　報告されている脆弱性の深刻度は非常に高く、重大なリスクをもたらすことが懸念されている。該当プラグインを使用している場合、迅速にアップデートすることや削除を実施するとともに悪用された痕跡がないかどうかを確認することが望まれる。