8万以上のWebサイトで使われている人気WordPressプラグインに深刻な脆弱性：セキュリティニュースアラート

DefiantがWordPressプラグイン「Comments - wpDiscuz」に重大な脆弱性「CVE-2024-9488」があると報告した。これを悪用すれば、サイバー攻撃者が正規のユーザーとしてログインできる可能性がある。

[後藤大地，有限会社オングス]

　Defiantは2024年10月24日（現地時間）、「WordPress」のプラグイン「Comments - wpDiscuz」に重大な脆弱（ぜいじゃく）性があることを伝えた。Comments - wpDiscuzプラグインは8万以上のWebサイトにインストールされている人気の高いWordPressプラグインの一つだ。このプラグインに重大な認証バイパスの脆弱性が発見されている。

人気プラグイン「Comments - wpDiscuz」に深刻な脆弱性、直ちにアップデートを

　Comments - wpDiscuzプラグインは、多くのWordPressサイトでアクティブにインストールされているコメントシステムだ。WordPressのネイティブなコメント機能を強化することを目的に設計されている。ユーザーエンゲージメントツールとして豊富な機能が提供されており、この脆弱性の影響は広範囲に及ぶ可能性がある。多くのユーザーに対し重大なセキュリティリスクとなることが懸念されている。

　発見された脆弱性は「CVE-2024-9488」として特定されている。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.8で深刻度「緊急」（Critical）と評価されており、注意が必要だ。

　CVE-2024-9488はソーシャルログインのトークンを介した認証の検証が不十分であることが原因とされ、認証されていない攻撃者がユーザーのメールアドレスにアクセスできる場合、管理者を含む既存ユーザーとしてログインすることが可能になるとされている。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Comments - wpDiscuz プラグインのバージョン7.6.24およびこれ以前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• Comments - wpDiscuz プラグイン version 7.6.25およびこれ以降のバージョン

　該当プラグインを使用している場合、速やかに修正されたバージョンにアップデートするか削除を実施するとともに悪用された痕跡がないかどうかを確認することが求められる。