WordPress の Social Login Plugin に深刻な脆弱性：30,000 以上のサイトでパッチが必要！

Critical Security Flaw in Social Login Plugin for WordPress Exposes Users’ Accounts

2023/06/29 TheHackerNews — miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在する。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明した。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS：9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼす。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされた。

Wordfence の研究者である István Márton は、「この脆弱性は、対象となる電子メールアドレスを、攻撃者が知っている場合、もしくは、見つけ出した場合において、認証バイパスを引き起こすものである。したがって、サイト管理に使用されるアカウントを含む、サイトの全アカウントへの不正アクセスへといたる」と述べている。

この問題は、ソーシャルメディア・アカウントを使用したログイン時に、情報を保護するために使用される暗号化キーがハードコードされていることに起因している。そのため攻撃者は、ユーザーを識別するために使用される、適切に暗号化された電子メールアドレスで、有効なリクエストを作成することが可能というシナリオにつながる。

そのアカウントが、WordPress サイト管理者のものであった場合には、サイト全体への侵害につながる可能性がある。このプラグインは、30,000以上のサイトで使用されている。

このアドバイザリは、100,000以上のアクティブなインストールを持つ、WordPress プラグイン LearnDash LMS に影響を及ぼす、極めて深刻な脆弱性が発見されたことを受けたものである。つまり、既存のアカウントを持つ任意のユーザーが、管理者などのパスワードを、リセットできる可能性がある。

2023年6月6日に出荷されたバージョン 4.6.0.1 で、この脆弱性 CVE-2023-3105 (CVSS：8.8) は修正されている。

先日には Patchstack が、UpdraftPlus プラグインにおける CSRF の脆弱性 CVE-2023-32960 (CVSS：7.1) について詳述している。この脆弱性の悪用に成功した認証されていない攻撃者が、管理者権限を持つユーザーを騙して、細工された WordPress サイトの URL にアクセスさせることで、機密データの窃取および特権昇格などにいたる恐れがある。

WordPress のプラグインに脆弱性です。最近では、2023/06/21 の「WordPress Plugin の深刻な脆弱性が FIX：脆弱なオンライン販売サイトが数万件」や、2023/05/31 の「WordPress の Jetpack プラグインに深刻な脆弱性：２日間で 500万件のパッチが自動配信された」などの記事がありました。よろしければ、WordPress で検索も、ご利用ください。