WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX:PoC も提供

Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed

2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。

脆弱性の詳細

この脆弱性 CVE-2025-3102 は、SureTriggers プラグインの RestController クラス内における autheticate_user 関数に起因する。

この関数は、HTTP ヘッダーで送信された “secret_key” と、プラグイン設定に保存されている “secret_key” との一致/不一致を確認するものだ。しかし、この関数は、”secret_key” が空かどうかを確認できない。つまり、API キーが設定されていない場合には、この関数は true を返し、認証バイパスを可能にしてしまう。

影響を受けるエンドポイント “/wp-json/suretriggers/automation/action” は、サイト所有者がプラグイン・コンフィグで API キーを設定していないケースにおいて、攻撃者が任意のアクションを実行するためのゲートウェイとなってしまう。それにより、新しい管理ユーザーの作成などが生じる可能性があるという。

この脆弱性は、SureTriggers がコンフィグされていない場合と、バージョン 1.0.78 以下がインストールされている場合において、発生するとされる。

テクニカルな洞察

SureTriggers プラグインは、さまざまな Web プラットフォーム/アプリケーション間での、効率の良いタスクの自動化を目的としている。そのため、外部サービスとの統合用に設計された、REST API エンドポイントが取り込まれている。

エンドポイントのセキュリティは、autheticate_user 関数を呼び出す permission_callback フックに依存している。問題のある関数は、以下のとおりである。

public function autheticate_user( $request ) {
    $secret_key       = $request->get_header( 'st_authorization' );
    list($secret_key) = sscanf( $secret_key, 'Bearer %s' );
    if ( $this->secret_key !== $secret_key ) {
        return false;
    }
    return true;
}

この関数は、リクエスト内の “secret_key” と、内部の “secret_key” を照合する。しかし、プラグインに API キーが設定されていない場合には、”this->secret_key” が空となるため、攻撃者が送信した情報に関係なく条件が成立してしまう。

この問題が発見された後の 2025年3月13日の時点で、 Wordfence Bug Bounty Program への速やかな報告が行われ、協調的な対応が推進されてきた。

  • 2025年4月1日:Wordfence Premium/Care/Response のユーザーは、この脆弱性の潜在的な悪用に対して、ファイアウォール・ルールにより保護された。
  • 2025年4月3日:脆弱性の詳細は、SureTriggers プラグイン開発会社であるBrainstorm Forceに転送され、同社は問題を認識し、修正に取り組んだ。
  • 2025年4月3日:この脆弱性を修正したパッチ・バージョン1.0.79 がリリースされた。
  • 2025年5月1日: Wordfence の無料版ユーザーには、同様のファイアウォール保護が提供される。

SureTriggers を使用する WordPress サイト所有者にとって必要なことは、バージョン 1.0.79 へと速やかにアップデートし、このリスクを軽減することだ。

このインシデントが浮き彫りにするのは、プラグインのセキュリティ機能を適切にコンフィグすることの重要性と、潜在的な脅威から WordPress エコシステムを保護するための、継続的な取り組みの重要性である。

このプラグインは、以前は “SureTriggers” という名前で提供されていましたが、現在は “OttoKit” に名称が変更されているようです。また、Wordfence のレポートによると、この脆弱性 CVE-2025-3102 に対する PoC エクスプロイトの存在が、2025年4月1日の時点で確認されています。ご利用のチームは、迅速なアップデートを、ご検討下さい。よろしければ、WordPress で検索も、ご利用ください。