【CVE-2024-10872】WordPressプラグインGetwid – Gutenberg Blocks 2.0.12に深刻なXSS脆弱性、早急なアップデートが必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Getwid – Gutenberg Blocks 2.0.12にXSS脆弱性
投稿者以上の権限で任意のスクリプト実行が可能
template-post-custom-fieldブロックに問題

WordPressプラグインGetwid – Gutenberg Blocks 2.0.12のXSS脆弱性

Wordfenceは2024年11月20日、WordPressプラグインGetwid – Gutenberg Blocks 2.0.12以前のバージョンにおいて格納型クロスサイトスクリプティングの脆弱性を発見したことを公開した。template-post-custom-fieldブロックにおける入力サニタイズと出力エスケープが不十分であることが原因で、悪用された場合にページ閲覧者のブラウザ上で任意のスクリプトが実行される可能性があるのだ。^[1]

この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、攻撃者はページ内に悪意のあるスクリプトを注入することが可能となっている。CVSSスコアは6.4（MEDIUM）と評価されており、攻撃の複雑さは低く、特権が必要で、ユーザーの関与は不要とされている。

脆弱性はCWE-79（クロスサイトスクリプティング）に分類されており、影響範囲は機密性と完全性に限定されている。プラグイン開発元のjetmonstersは対策版のリリースを行っており、管理者は早急なアップデートを実施する必要がある。

Getwid – Gutenberg Blocks 2.0.12の脆弱性詳細

項目	詳細
CVE番号	CVE-2024-10872
影響を受けるバージョン	2.0.12以前
脆弱性の種類	格納型クロスサイトスクリプティング
CVSSスコア	6.4（MEDIUM）
必要な権限	投稿者以上
影響範囲	機密性と完全性

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションに存在する脆弱性の一つで、攻撃者が悪意のあるスクリプトをWebページに埋め込むことができる問題を指す。以下のような特徴を持つ重大な脆弱性である。

ユーザーのブラウザ上で任意のスクリプトが実行可能
セッション情報の窃取やフィッシング詐欺に悪用される
入力値の適切なサニタイズとエスケープで防止可能

WordPressプラグインのGetwid – Gutenberg Blocks 2.0.12で発見された脆弱性は、特に悪質な格納型XSSに分類される。格納型XSSはWebサイトのデータベースに悪意のあるスクリプトが保存され、そのページにアクセスした全てのユーザーに影響を及ぼす可能性があるため、早急な対策が必要となる。

Getwid – Gutenberg Blocks 2.0.12の脆弱性に関する考察

Getwid – Gutenberg Blocksの脆弱性が投稿者権限以上で悪用可能という点は、多くのWordPressサイトで深刻な影響をもたらす可能性がある。WordPressの特性上、複数の投稿者が存在するサイトも多く、悪意のあるユーザーが投稿者権限を取得した場合、サイト訪問者に対して広範な攻撃が可能となってしまうだろう。

今後同様の脆弱性を防ぐためには、プラグイン開発時のセキュリティレビューの強化が不可欠となる。特にユーザー入力を扱うブロックエディタのカスタムブロックでは、入力値の厳密なバリデーションとサニタイズ、そして出力時の適切なエスケープ処理が重要になってくるだろう。

WordPressエコシステムの健全性を維持するためには、プラグイン開発者向けのセキュリティガイドラインの整備も重要な課題となる。セキュリティ企業との連携を強化し、脆弱性診断やコードレビューを通じて、より安全なプラグイン開発の実現を目指すべきだ。