【CVE-2024-9772】WordPressプラグインUix Shortcodesに深刻な脆弱性、未認証でのコード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Uix Shortcodesプラグイン1.9.9以前に脆弱性が発見
未認証でショートコードが実行可能な状態
CVSSスコア7.3のHIGHレベルの深刻度

Uix Shortcodesプラグイン1.9.9以前の任意コード実行の脆弱性

WordfenceはWordPress用プラグイン「Uix Shortcodes - Compatible with Gutenberg」のバージョン1.9.9以前に存在する脆弱性情報を2024年10月26日に公開した。プラグインがユーザーによるアクションを適切な値の検証なしでdo_shortcodeを実行することにより、未認証の攻撃者が任意のショートコードを実行可能な状態となっている。^[1]

この脆弱性はCWE-94（不適切なコード生成制御によるコードインジェクション）に分類され、CVSSスコアは7.3のHIGHレベルと評価されている。攻撃の複雑さは低く、特権レベルや特別な条件を必要としないため、プラグインを使用しているWordPressサイトのセキュリティリスクとなっているのだ。

WordPressプラグインディレクトリによると、この脆弱性はfrontpage-init.phpファイルの9行目に存在することが確認されている。セキュリティ研究者のFrancesco Carlucciによって発見されたこの問題は、プラグインの基本的な機能に関わる部分に存在するため、早急な対応が必要となっている。

Uix Shortcodesプラグインの脆弱性詳細

項目	詳細
脆弱性ID	CVE-2024-9772
影響を受けるバージョン	1.9.9以前のすべてのバージョン
脆弱性の種類	任意のショートコード実行
CVSSスコア	7.3（HIGH）
攻撃の前提条件	認証不要、特権レベル不要

コードインジェクションについて

コードインジェクションとは、攻撃者が悪意のあるコードをアプリケーションに注入し、プログラムの動作を操作する攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

入力値の検証が不十分な場合に発生しやすい脆弱性
システムコマンドやプログラムコードの不正実行が可能
情報漏洩やシステム破壊などの重大な被害につながる可能性

Uix Shortcodesプラグインで発見された脆弱性は、入力値の検証が不十分なことにより、未認証の攻撃者が任意のショートコードを実行できる状態となっている。WordPressのショートコード機能は強力な機能を提供するため、この脆弱性を悪用されると深刻な被害につながる可能性が高いのだ。

Uix Shortcodesプラグインの脆弱性に関する考察

WordPressプラグインの脆弱性は、多くのWebサイトに影響を与える可能性があるため、開発者による入力値の検証強化が不可欠となっている。特にショートコード実行のような強力な機能を提供するプラグインでは、認証やパーミッションチェックなどの多層的なセキュリティ対策が必要不可欠だろう。

今後は同様の脆弱性を防ぐため、プラグイン開発時のセキュリティレビューやコードの品質管理をより強化する必要がある。また、プラグインの更新管理や定期的なセキュリティ診断の実施など、サイト運営者側でも適切な対策を講じることが望ましいだろう。

WordPressエコシステムの健全な発展のためには、開発者とユーザーの双方がセキュリティ意識を高め、協力して脆弱性対策に取り組むことが重要となる。特にオープンソースプラグインでは、コミュニティによるコードレビューや脆弱性報告の仕組みをより活性化させることで、セキュリティ品質の向上が期待できるだろう。