セキュリティ

SECURITY

公開：2024-11-16

【CVE-2024-10672】Multiple Page Generator Plugin – MPGに認証済みディレクトリトラバーサルの脆弱性、早急な更新が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Multiple Page Generator Plugin – MPGに任意のファイル削除の脆弱性
• エディターレベル以上の権限で特定ファイルの削除が可能に
• WordPressプラグインのバージョン4.0.2以前が影響対象

Multiple Page Generator Plugin – MPGの認証済みディレクトリトラバーサル脆弱性

WordfenceはWordPress用プラグインMultiple Page Generator Plugin – MPGにおいて、バージョン4.0.2以前に認証済みディレクトリトラバーサルによる任意のファイル削除の脆弱性が存在することを2024年11月12日に公開した。mpg_upsert_project_source_block()関数においてファイルパスの検証が不十分であることが原因となっている。^[1]

この脆弱性は【CVE-2024-10672】として識別されており、エディターレベル以上の権限を持つ攻撃者がサーバー上の特定のファイルを削除できる可能性がある。NVDの評価によると攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、高い特権レベルが必要となっている。

WordPressプラグインのセキュリティ対策として、早急なバージョンアップデートが推奨されている。Multiple Page Generator Plugin – MPGの開発元であるthemeisleは、この脆弱性に対応したバージョン4.0.3をリリースしており、管理者は速やかに最新版への更新を実施する必要がある。

Multiple Page Generator Plugin – MPGの脆弱性詳細

ディレクトリトラバーサルについて

ディレクトリトラバーサルとは、Webアプリケーションにおいて意図しないディレクトリへのアクセスを可能にする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• パス名の検証が不十分な場合に発生する脆弱性
• 重要なファイルの閲覧や改ざん、削除が可能になる
• 「../」などの特殊文字列を使用して上位ディレクトリにアクセス

Multiple Page Generator Plugin – MPGにおけるディレクトリトラバーサル脆弱性は、mpg_upsert_project_source_block()関数内でのファイルパス検証が不十分であることに起因している。攻撃者はこの脆弱性を悪用することで、アクセス権限のないファイルの削除が可能となるため、早急な対応が必要とされている。

Multiple Page Generator Plugin – MPGの脆弱性に関する考察

エディターレベル以上の権限を必要とする点は、被害拡大の抑制という観点で評価できる要素となっている。しかし、WordPressサイトでは複数の管理者やエディターが存在することが一般的であり、内部犯行や権限昇格と組み合わされた攻撃のリスクは無視できないだろう。

今後の課題として、プラグイン開発におけるセキュリティレビューの強化が挙げられる。特にファイル操作を伴う機能については、入力値の検証やアクセス制御の実装を徹底する必要がある。また、サードパーティ製プラグインの脆弱性対策として、定期的なセキュリティ監査の実施も検討に値するだろう。

WordPressエコシステムの健全な発展のためには、開発者とセキュリティ研究者の協力が不可欠となる。今回のような脆弱性の早期発見と修正は、プラットフォーム全体のセキュリティ向上に寄与するものだ。今後はAIを活用したコード解析など、新しい脆弱性検出手法の導入も期待したい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10672, (参照 24-11-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧