200万に影響 WordPressで人気のカスタムフィールドプラグインに重要な脆弱性
WordPressのプラグインで人気の高いカスタムフィールドプラグインに重大なセキュリティ脆弱性が見つかった。これは200万以上のインストールがあるため大きな影響が予想される。該当する場合は迅速に更新することが望まれる。
WordPressの人気プラグインである「Advanced Custom Fields」(ACF)に重大なセキュリティ脆弱(ぜいじゃく)性が存在するとPatchstackが報じた(脆弱性の発見者であるGMOサイバーセキュリティ byイエラエの山崎 啓太郎氏も同脆弱性をブログで解説している)。
このプラグインは200万以上のアクティブインストールがあり、その影響範囲の広さが懸念されている。脆弱性はクロスサイトスクリプティングに関連したもので、認証を受けていないユーザーによる情報窃取や特権昇格が可能となる。
「WordPress Advanced Custom Fields Pro plugin <= 6.1.5 - Reflected Cross Site Scripting(XSS) vulnerability 」(出典:PatchstackのWebサイト)
Advanced Custom Fieldsに重要なセキュリティ脆弱性、更新を
WordPressで人気の高いACFに重要なセキュリティ脆弱性が存在することがPatchstackによって伝えられた。このプラグインは200万を超えるアクティブインストールが確認されており、影響が広いことが懸念される。該当するプラグインを使っているユーザーは迅速にアップデートを適用することが望まれる。
報告されたセキュリティ脆弱性は「CVE-2023-30777」として特定されている。このセキュリティ脆弱性はクロスサイトスクリプティング(XSS)の脆弱性とされており、悪用された場合は認証を受けていないユーザーによる情報窃取や、特権ユーザーをだましてWordPressサイトにおいて特権昇格を実施される危険性があるとされている。
セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次の通りだ。
- Advanced Custom Fields 6.1.5およびこれより前のバージョン
- Advanced Custom Fields PRO 6.1.5およびこれより前のバージョン
セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次の通りだ。
- Advanced Custom Fields バージョン6.1.6
- Advanced Custom Fields PRO バージョン6.1.6
Patchstackは本セキュリティ脆弱性の深刻度を共通脆弱性評価システム(CVSS)v3で7.1と評価し重要(High)と位置付けている。
Advanced Custom Fieldsプラグインを使うことでユーザーは迅速にカスタムフィールドをWebページに追加できる。便利なプラグインであり、広く使われている点に注意が必要だ。セキュリティ脆弱性が存在するバージョンを使い続けるのはリスクがある。該当するプロダクトを使用している場合は迅速にアップデートを適用し、ユーザーアカウントの設定を見直してほしい。
関連記事
- WordPressテーマにCVSSスコア9.9の脆弱性が見つかる 直ちに確認を
WordPressテーマに複数の脆弱性が見つかった。脆弱性の中にはCVSSv3スコアで9.9、深刻度「緊急」(Critical)に分類されるものがあり注意が必要だ。 - WordPressプラグインに制御権乗っ取りの脆弱性 直ちにアンインストールを
WordPressのページビルダープラグイン「Modern WPBakery」に脆弱性が見つかった。これを悪用されると、Webサイトの制御権が乗っ取られる可能性があるため迅速なアンインストールが求められる。 - WordPress 3.7系から4.0系は12月でセキュリティアップデート終了 迅速な移行計画策定を
WordPressの古いバージョンである3.7系から4.0系までのセキュリティアップデートが2022年12月1日で終了となる。該当するバージョンを使っている場合は、セキュリティアップデートが提供されているバージョンへ移行することが望まれる。 - WordPressのプラグインにマルウェアが隠される 感染リスクを軽減する方法は?
SucuriはWordPressのプラグインにマルウェアを隠す方法を発見したと伝えた。サイバー攻撃者は、セキュリティソフトウェアや研究者による検出を回避するためにさまざまな攻撃手法を開発しており、今回の方法も巧妙に検出を回避するものだったとされている。
関連リンク
- WordPress プラグイン Advanced Custom Fieldsの脆弱性について(GMOサイバーセキュリティ byイエラエ)
- Advanced Custom Fields (ACF) - WordPress plugin | WordPress.org
- WordPress Advanced Custom Fields Pro plugin <= 6.1.5 - Reflected Cross Site Scripting (XSS) vulnerability - Patchstack
- Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites
Copyright © ITmedia, Inc. All Rights Reserved.