目次
記事の要約
- WordfenceはWordPressの複数のプラグインとテーマにおける権限チェックの欠如による脆弱性CVE-2024-13420を公開した
- サブスクライバー以上の権限を持つ認証済み攻撃者が、プラグイン/テーマの設定をリセット・変更できる
- G5ThemeのBenaa、April、Beyot、Auteur Frameworkが影響を受ける
複数のWordPressプラグインとテーマにおける権限チェックの欠如による脆弱性
Wordfenceは2025年5月2日、WordPressの複数のプラグインやテーマにおけるセキュリティ脆弱性CVE-2024-13420を公開した。この脆弱性により、サブスクライバー以上の権限を持つ認証済み攻撃者が、’gsf_reset_section_options’、’gsf_create_preset_options’などの複数のAJAXアクションに対する権限チェックの欠如を悪用できるのだ。
攻撃者は、この脆弱性を悪用することで、影響を受けるプラグインやテーマの設定を不正にリセットまたは変更することが可能となる。この問題は、公開日の2ヶ月以上前にEnvatoにエスカレーションされており、部分的なパッチが適用されているものの、依然として脆弱性が残っていることが確認されている。
脆弱性の影響を受ける製品は、G5Themeが開発したBenaa Framework(バージョン4.0.0まで)、April Framework(バージョン5.1まで)、Beyot Framework(バージョン6.0.6まで)、Auteur Framework(バージョン7.1まで)である。これらのフレームワークを使用しているWordPressサイトは、速やかにアップデートを行う必要がある。
この脆弱性は、CWE-94(不適切なコード生成制御)に分類され、CVSSスコアは4.3(中程度)と評価されている。攻撃者はネットワーク経由で容易にこの脆弱性を悪用できるため、迅速な対応が求められるのだ。
影響を受ける製品とバージョン
| ベンダー | 製品名 | 影響を受けるバージョン |
|---|---|---|
| G5Theme | Benaa Framework | 4.0.0まで |
| G5Theme | April Framework | 5.1まで |
| G5Theme | Beyot Framework | 6.0.6まで |
| G5Theme | Auteur Framework | 7.1まで |
AJAXアクションと権限チェック
この脆弱性の根本原因は、複数のAJAXアクションに対する適切な権限チェックが実装されていない点にある。AJAXアクションとは、JavaScriptを用いて非同期的にサーバーと通信を行う仕組みだ。
- gsf_reset_section_options
- gsf_create_preset_options
- その他多数
これらのアクションに対して、適切な権限チェックが実装されていれば、サブスクライバー以上の権限を持つユーザーであっても、不正なアクセスを阻止することができたはずだ。
CVE-2024-13420に関する考察
この脆弱性の発見と公開は、WordPressのセキュリティ対策の重要性を改めて示している。迅速なパッチ適用と、開発者による適切な権限チェックの実装が不可欠だ。脆弱性の影響範囲は広く、多くのWordPressサイトが危険にさらされている可能性がある。
今後、同様の脆弱性が他のプラグインやテーマでも発見される可能性がある。そのため、定期的なセキュリティアップデートの実施と、セキュリティ監査の実施が重要となるだろう。また、開発者側には、セキュリティに関するベストプラクティスを遵守し、安全なコードを記述することが求められる。
さらに、WordPressコミュニティ全体でセキュリティ意識を高め、脆弱性情報の共有や迅速な対応体制の構築が重要だ。ユーザーは、常に最新のプラグインとテーマを使用し、セキュリティに関する情報を積極的に収集する必要がある。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2024-13420」.https://www.cve.org/CVERecord?id=CVE-2024-13420, (参照 2025-05-08).
