WordPressの人気プラグイン「Really Simple Security」に重大な脆弱性 400万以上のWebサイトに影響：セキュリティニュースアラート

WordfenceはWordPressの人気プラグイン「Really Simple Security」に重大な脆弱性があると報告した。400万以上のWordPressサイトが影響を受けるとされており、速やかなアップデートが求められている。

[後藤大地，有限会社オングス]

　Wordfenceの脅威インテリジェンスチームは2024年11月14日（現地時間）、「WordPress」の「Really Simple Security（旧 Really Simple SSL）」プラグインに認証がバイパスされる深刻な脆弱（ぜいじゃく）性があると発表した。

　Really Simple Securityは400万以上のWebサイトにインストールされている人気のWordPressプラグインの一つだ。この脆弱性はスクリプト化が可能とされており、WordPressサイトを標的とした大規模な自動攻撃に利用される可能性がある。

人気プラグイン「Really Simple Security」に深刻な脆弱性　急ぎ確認を

　発見された脆弱性は「CVE-2024-10924」として特定されている。共通脆弱性評価システム（CVSS）v3.1のスコアは9.8で深刻度「緊急」（Critical）と評価されており注意が必要だ。この脆弱性が悪用された場合、リモートからプラグインを実行しているWebサイトの完全な管理者権限を攻撃者が取得できる可能性がある。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Really Simple Security プラグイン version 9.0.0から9.1.1.1までのバージョン
• Really Simple Security Pro プラグイン version 9.0.0から9.1.1.1までのバージョン
• Really Simple Security Pro Multisite プラグイン version 9.0.0から9.1.1.1までのバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• Really Simple Security プラグイン version 9.1.2およびこれ以降のバージョン
• Really Simple Security Pro プラグイン version 9.1.2およびこれ以降のバージョン
• Really Simple Security Pro Multisite プラグイン version 9.1.2およびこれ以降のバージョン

　CVE-2024-10924は深刻度の重大性からプラグインベンダーとWordPress.orgプラグインチームが協力し、脆弱性のあるバージョンのプラグインを使用しているユーザーに対し、パッチが適用されたバージョンへの強制アップデートが実施されている。

　これによって脆弱性の影響を受ける多くのWebサイトは既に修正済みのバージョンとなっている。ユーザーに対してはReally Simple Securityプラグインのバージョンが修正済みのバージョンに更新されているかどうかを確認するよう強く推奨されている。まだ脆弱性のあるバージョンのプラグインを使用しているユーザーは速やかに修正されたバージョンにアップデートすることが望まれる。