Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
暗号化された値の作成に使用される暗号化キーは、このプラグインにハードコードされている。そして、各カート識別子は、連続的に増加する番号であるため、この暗号化キーを悪用する攻撃者は、他のユーザーのカートの識別子を作成することが可能となる。
この攻撃は、放棄されたカートに対してのみ実行できるものだが、攻撃に成功した脅威アクターは、おそらく顧客レベルのユーザとしてログインできるようになる。しかし、Defiant のアドバイザリによると、放棄されたカート機能をテストしている管理者レベルのアカウントにも、攻撃者がアクセスする可能性があり、サイトの完全な侵害にもつながるという。
この問題は、6月13日にリリースされた Abandoned Cart Lite for WooCommerce の Ver 5.15.1 で修正されている。しかし、WordPress の統計によると、何万もの Web サイトで、依然として修正前のプラグインが使用されているという。
6月20日 (火) にも Defiant は、WordPress のプラグイン BookIt に存在する、脆弱性 CVE-2023-2834 (CVSS:9.8) について警告を発しているが、こちらは1万以上のアクティブなインストールを持つという。
このプラグインは、WordPress サイトのページに予約カレンダーを埋め込むための、短いコードを提供するものだ。それを利用するユーザーは、名前/メールアドレス/パスワードを入力することで予約を完了できる。
このプラグインを使用した予約の際に、ユーザーが入力した内容に対するチェックが不十分なため、ユーザーのメールアドレスを知っている攻撃者であれば、認証されていないケースであっても、そのユーザーとしてログインすることが可能だという。
このプラグインにおいて、提供された電子メールアドレスでユーザー ID が検証され、その電子メールが、既存のユーザー・アカウントに紐づいている場合に、問題が生じる。
つまり、パスワードの検証を実行せずに、対象となるアカウントにリクエストを関連付け、そのアカウント用の認証クッキーを設定してしまうという。Defiant は、「この脆弱性により、攻撃者がメールアドレスを知っていれば、サイト上のあらゆるアカウントにアクセスすること、管理者アカウントも含めて可能になる」とは付け加えている。
この脆弱性は、6月13日にリリースされた BookIt Ver 2.3.8 で修正されている。しかし、WordPress の統計によると、数千の Web サイトにおいて、依然として脆弱なバージョンのプラグインが使用されているという。
このところ、WooCommerce 関連の脆弱性だけではなく、オンライン販売者を狙うキャンペーンなどに関する記事が多いように思えます。攻撃が成功すれば、高い確率でクレジットカード情報を盗み出せるという背景があるのでしょう。よろしければ、カテゴリ Retail も、ご利用ください。
2023/06/13:Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX
2023/06/05:WooCommerce などが標的:Magecart キャンペーン
2023/03/24:WooCommerce 決済プラグインの深刻な脆弱性
IoT OT Security News 
You must be logged in to post a comment.