CVE-2024-56000 (CVSS 9.8): Account Takeover Flaw in KLEO WordPress Theme
2025/02/21 SecurityOnline — WordPress の KLEOテーマに発見された、深刻な脆弱性を悪用する攻撃者は、ユーザー・アカウント乗っ取りの可能性を得るという。この KLEO テーマの脆弱性 CVE-2024-56000 (CVSS:9.8) は、カスタム要素とショートコード提供のためにバンドルされる、K Elements プラグインに影響を及ぼすものだ。WordPress エコシステムで 23,000 を超える販売数を誇る KLEO は、最も人気のあるプレミアム BuddyPress テーマの1つである。
この脆弱性は、Facebook ソーシャル・ログイン・プロセスの欠陥に起因する。このログイン・プロセスの最中に、ターゲット・ユーザーのメール・アドレスを入力する攻撃者は、認証をバイパスしてアカウント・アクセスを達成する可能性を手にする。この問題は、Facebook ログイン・プロセス中に、ユーザー ID を適切に検証しないコードに起因する。
Patchstack のセキュリティ・アドバイザリには、「この脆弱性は、Facebook のログイン・プロセス・ロジックの欠如により発生する。悪意のユーザーが、自分のアカウントのメール・アドレスを提供するだけで、他ユーザーのアカウントにログインできてしまう。この問題は、Facebook から受信したデータをベースにして、適切な検証なしにユーザー ID を構築してしまう、kleo_fb_intialize 関数に起因するものである」と記されている。
すでに、KLEO のベンダーである SeventhQueen は、K Elements プラグインのバージョン 5.4.0 をリリースし、この脆弱性に対処している。このパッチによる変更点は、kleo_verify_facebook_token_and_get_data 関数の使用にあり、ユーザー・データの取得において、Facebook アクセス・トークンを介した検証を行い、Facebook ログイン・プロセスを適切にチェックするようになった。
KLEO テーマのユーザーに対して強く推奨されるのは、K Elements プラグインの最新バージョンへと、速やかに更新することだ。また、アカウント・アクティビティのチェックによる侵害兆候の有無の確認と、予防措置としてのパスワード変更も推奨される。
WordPress KLEO Theme の脆弱性 CVE-2024-56000 が FIX しました。Facebook ソーシャル・ログイン・プロセスの欠陥に起因し、攻撃者が自身のメール・アドレスを入力するだけで、他のユーザーのアカウントに不正ログインできてしまうという、深刻な脆弱性です。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、WordPress で検索も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.