【CVE-2024-9700】Forminator Forms 1.36.0以前にIDOR脆弱性、未認証での改ざんが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Forminator Forms 1.36.0以前にIDOR脆弱性が存在
未認証の攻撃者がクイズの提出内容を改ざん可能
CVE-2024-9700として特定され、CVSS値は5.3

Forminator Forms 1.36.0のIDOR脆弱性

WordPressプラグインのForminator Forms – Contact Form, Payment Form & Custom Form Builderにおいて、バージョン1.36.0以前に深刻な脆弱性が発見され、2024年10月31日に公開された。submit_quizzes()関数において、entry_idというユーザー制御可能なキーに対する検証が不足しており、未認証の攻撃者が他のユーザーのクイズ提出内容を改ざんできる脆弱性が存在している。^[1]

この脆弱性はCVE-2024-9700として識別されており、CWEによる脆弱性タイプはユーザー制御可能なキーによる認可バイパス（CWE-639）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされており、攻撃に必要な特権レベルは不要だが、影響は完全性への部分的な影響に限定されている。

Wordfenceによる調査により、この脆弱性はプラグインのクイズ機能に関連する部分で発見された。脆弱性の深刻度を示すCVSSスコアは5.3（MEDIUM）と評価されており、特に認証が不要な状態で攻撃が可能である点が重要視されている。

Forminator Forms脆弱性の詳細

項目	詳細
CVE番号	CVE-2024-9700
影響を受けるバージョン	1.36.0以前
脆弱性の種類	Insecure Direct Object Reference
CVSSスコア	5.3（MEDIUM）
攻撃に必要な条件	認証不要、ネットワークアクセス可能

Insecure Direct Object Referenceについて

Insecure Direct Object Reference（IDOR）とは、Webアプリケーションにおいて、ユーザーが直接アクセスできるリソースの参照に関するセキュリティ上の脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

オブジェクトへの直接参照が適切に保護されていない状態
認証・認可の検証が不十分または欠如している状態
ユーザーが他者のデータにアクセス可能になる可能性がある

Forminator Formsの脆弱性では、entry_idパラメータに対する検証が不十分であることがIDORの原因となっている。この脆弱性により、攻撃者は正規のユーザーが提出したクイズの内容を不正に改ざんすることが可能であり、Webアプリケーションのデータ整合性が脅かされる可能性があるのだ。

Forminator Forms脆弱性に関する考察

Forminator Formsの脆弱性は、WordPressプラグインの開発においてセキュリティ検証の重要性を再認識させる事例となっている。特にユーザー入力値の検証については、フロントエンド側での制限だけでなく、バックエンド側でも適切な認証・認可の仕組みを実装する必要性が明確になった。今後は開発段階でのセキュリティレビューをより強化することが求められるだろう。

この脆弱性の影響範囲は、主にクイズ機能を利用している教育機関やオンラインテストシステムに及ぶ可能性がある。特に成績評価やテスト結果の信頼性が重要な場面では、早急なアップデートが必要となっている。プラグイン開発者には、ユーザー入力値の検証機能の強化と、定期的なセキュリティ監査の実施が望まれる。

今後の対策として、入力値の厳格な検証に加え、アクセス制御機能の強化や監査ログの実装なども検討する必要がある。WordPressプラグインのセキュリティ向上には、開発者とセキュリティ研究者のコミュニティによる継続的な脆弱性の発見と修正が重要だ。プラグインのセキュリティ機能の標準化も検討に値するだろう。