セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-47362】Strong Testimonials 3.1.16に認可制御の脆弱性、アクセス制御設定の不備により悪用の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Strong Testimonials 3.1.16に認可制御の脆弱性
• アクセス制御設定の誤設定による問題を確認
• 3.1.17で修正済みのセキュリティアップデート

Strong Testimonials 3.1.16の認可制御脆弱性

WPChillは2024年11月1日、WordPress用プラグインStrong Testimonials 3.1.16以前のバージョンに認可制御の脆弱性が存在することを公開した。アクセス制御設定の誤設定により認可されていない処理が実行可能な状態となっており、CVSS3.1のスコアは4.3（MEDIUM）と評価されている。^[1]

この脆弱性は【CVE-2024-47362】として識別されており、CWEによる脆弱性タイプは認可制御の欠如（CWE-862）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃に必要な特権レベルはLowとなっている。

WPChillはStrong Testimonialsのバージョン3.1.17にてこの脆弱性に対する修正を実施しており、影響を受けるバージョンを使用しているユーザーに対して最新版へのアップデートを推奨している。Patchstack Allianceの研究者Joshua Chanによって発見されたこの脆弱性は、適切なアクセス制御の実装により解決された。

Strong Testimonials脆弱性の詳細

認可制御について

認可制御とは、システムやアプリケーションにおいて、ユーザーやプロセスが特定のリソースにアクセスする権限を持っているかどうかを確認する仕組みのことを指す。主な特徴として以下のような点が挙げられる。

• ユーザーの権限レベルに基づくアクセス制御
• リソースへのアクセス可否の判断基準
• セキュリティポリシーに基づく制御機能

WordPressプラグインにおける認可制御の実装は、管理者権限を持つユーザーと一般ユーザーの操作可能な範囲を適切に制限するために重要な役割を果たしている。Strong Testimonialsの脆弱性は、この認可制御が適切に実装されていなかったことにより、本来アクセスできないはずの機能やデータへのアクセスが可能となっていた。

Strong Testimonialsの脆弱性に関する考察

WordPressプラグインにおける認可制御の脆弱性は、サイト全体のセキュリティを脅かす重大な問題となる可能性が高い。Strong Testimonialsの場合、CVSSスコアは中程度であったものの、攻撃条件の複雑さが低く設定されていることから、比較的容易に脆弱性を悪用される可能性があったと考えられる。

今後は同様の脆弱性を防ぐため、プラグイン開発時における認可制御の実装チェックをより厳密に行う必要があるだろう。特にWordPressプラグインは多くのウェブサイトで利用されているため、セキュリティ面での品質管理を徹底することが求められる。

また、プラグインのユーザーに対しても、定期的なアップデートの重要性を認識してもらう必要がある。セキュリティアップデートの適用を促進するためには、脆弱性情報の迅速な公開と、わかりやすいアップデートガイドの提供が不可欠だろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47362, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧