セキュリティ

SECURITY

公開：2024-11-16

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロスサイトスクリプティングの脆弱性、未認証攻撃者によるスクリプト実行のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Form Maker by 10Webにクロスサイトスクリプティングの脆弱性
• WordPress用プラグインのバージョン1.15.30まで影響
• 未認証の攻撃者によるスクリプト実行のリスク

Form Maker by 10Web 1.15.30の脆弱性

WordfenceはWordPress用プラグイン「Form Maker by 10Web」にクロスサイトスクリプティングの脆弱性が存在することを2024年11月10日に公開した。URLパラメータのadd_query_argが適切にエスケープされていないため、未認証の攻撃者がWebスクリプトを注入できる可能性が指摘されている。^[1]

この脆弱性は【CVE-2024-10265】として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは不要だが、利用者の関与が必要とされており、影響の想定範囲に変更があるとされている。

WordfenceのDale Maversによって発見されたこの脆弱性は、CVSS基本値が6.1（MEDIUM）と評価されており、現在Form Maker by 10Webのバージョン1.15.30までのすべてのバージョンに影響を与えることが確認されている。脆弱性が存在するソースコードはプラグインのwd/includes/notices.phpの199行目に位置することが特定されている。

Form Maker by 10Webの脆弱性情報まとめ

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションに悪意のあるスクリプトを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力値が適切にエスケープされずに出力される脆弱性を悪用
• 攻撃者が任意のJavaScriptコードを実行可能
• ユーザーのセッション情報やクッキーの窃取が可能

Form Maker by 10Webの脆弱性では、add_query_argパラメータが適切にエスケープされていないことが問題となっている。未認証の攻撃者がURLを介してスクリプトを注入することで、ユーザーがリンクをクリックした際に悪意のあるスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

Form Maker by 10Webの脆弱性に関する考察

Form Maker by 10Webの脆弱性は、WordPressプラグインの開発における入力値のバリデーションとエスケープ処理の重要性を再認識させる事例となっている。WordPressの広範な普及を考えると、プラグインの脆弱性は多くのウェブサイトに影響を及ぼす可能性があり、開発者はセキュリティを最優先事項として考慮する必要があるだろう。

今後はWordPressプラグインのセキュリティ審査をより厳格化し、脆弱性を事前に検出するための自動化ツールの導入が求められる。特にクロスサイトスクリプティング対策として、入力値のサニタイズ処理やコンテンツセキュリティポリシーの適切な設定が重要となってくるだろう。

Form Maker by 10Webの開発者には、セキュリティテストの強化とともに、脆弱性が発見された際の迅速な対応体制の構築が望まれる。WordPress本体のセキュリティ機能との連携を強化し、プラグインのセキュリティ強化に向けた継続的な取り組みが期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10265, (参照 24-11-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧