セキュリティ

SECURITY

公開：2024-12-03

【CVE-2024-10900】ProfileGrid 5.9.3.6に認証の脆弱性、管理者権限剥奪の可能性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ProfileGrid 5.9.3.6以前のバージョンに脆弱性
• 認証済みユーザーによる任意のユーザーメタ削除が可能
• 管理者のアクセス権限を剥奪される可能性

ProfileGrid 5.9.3.6の認証に関する脆弱性が判明

WordPressのプラグインProfileGrid – User Profiles, Groups and Communitiesに深刻な脆弱性【CVE-2024-10900】が2024年11月20日に公開された。この脆弱性は5.9.3.6以前のバージョンに存在し、pm_remove_file_attachment()関数の権限チェック不備によって、購読者以上の権限を持つ認証済みユーザーが任意のユーザーメタデータを削除できる状態になっている。^[1]

脆弱性の深刻度はCVSS v3.1で6.5（MEDIUM）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。攻撃者は認証済みユーザーである必要があるものの、管理者のアクセス権限を剥奪される可能性があり、早急な対応が求められる状況だ。

この脆弱性は研究者のAmrAwadによって発見され、Wordfenceに報告された。NVDの評価によると、攻撃に必要な特権レベルは低く、ユーザーの関与は不要とされている。また、この脆弱性の影響範囲は限定的であるとされている。

ProfileGrid 5.9.3.6の脆弱性概要

Missing Authorizationについて

Missing Authorization（CWE-862）とは、ソフトウェアが重要なリソースやファンクションにアクセスする前に適切な認可チェックを実施していない脆弱性を指す。この脆弱性が存在すると、以下のような問題が発生する可能性がある。

• 権限のないユーザーによる機密情報へのアクセス
• 重要な機能の不正実行
• システム設定の不正な変更

ProfileGridの事例では、pm_remove_file_attachment()関数に適切な権限チェックが実装されていないことが問題となっている。この脆弱性により、購読者レベルの権限を持つユーザーでも管理者のメタデータを削除できる状態となり、結果としてサイト運営に重大な影響を及ぼす可能性が指摘されている。

ProfileGrid脆弱性に関する考察

ProfileGridの脆弱性は、WordPressプラグインの認証機能における実装の重要性を改めて浮き彫りにしている。特に権限管理の不備は、たとえ低い権限のユーザーであっても管理者権限を剥奪できるような深刻な事態を引き起こす可能性があり、プラグイン開発における認証機能の実装には細心の注意を払う必要があるだろう。

今後はWordPressプラグインの開発においても、セキュリティテストの強化やコードレビューの徹底が求められることになるだろう。特に認証・認可に関する機能については、外部の専門家によるセキュリティ監査を実施するなど、より厳密な品質管理プロセスの確立が望まれる。

また、WordPressコミュニティ全体としても、プラグインのセキュリティガイドラインの整備や、開発者向けのセキュリティ教育の強化が必要となってくる。プラグインの品質向上には、開発者と利用者双方のセキュリティ意識の向上が不可欠だ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10900, (参照 24-12-03).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧