セキュリティ

SECURITY

公開：2025-01-21

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性、認証なしでの攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Passwords Manager 1.4.8以前にSQLインジェクションの脆弱性
• 認証不要で機密情報の抽出が可能な深刻な問題
• CVSSスコア7.5のハイリスク脆弱性として評価

Passwords Manager 1.4.8のSQLインジェクション脆弱性

WordPressプラグインのPasswords Manager 1.4.8以前のバージョンにて、深刻なSQLインジェクションの脆弱性が2025年1月16日に公開された。この脆弱性は複数のAJAX機能において$wpdb->prefix値が適切にエスケープされておらず、SQL文が十分に準備されていないことに起因している。^[1]

この脆弱性は認証を必要とせずに攻撃が可能であり、既存のSQLクエリに追加のクエリを付加することで、データベースから機密情報を抽出できる状態にある。CVSSスコアは7.5と高く評価され、特に機密性への影響が重大であることが指摘されている。

脆弱性の発見者であるLucio Sáにより報告され、WordfenceのセキュリティチームがCVE-2024-12613として識別・公開した。SSVCによる評価では、自動化可能な攻撃であることが指摘され、技術的な影響は部分的とされている。

Passwords Manager 1.4.8の脆弱性詳細

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性の一つで、悪意のあるSQLクエリをデータベースに送信し、不正な操作を行う攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザー入力値が適切にサニタイズされていない場合に発生
• データベースの内容を不正に閲覧・改ざんする可能性
• 認証をバイパスして不正アクセスを行う可能性

WordPressプラグインのPasswords Managerで発見された脆弱性は、AJAX機能における$wpdb->prefixの値が適切にエスケープされていないことが原因となっている。この問題により、攻撃者は認証なしで既存のSQLクエリを改変し、データベースから機密情報を抽出することが可能な状態となっている。

Passwords Manager 1.4.8の脆弱性に関する考察

Passwords Managerの脆弱性は、認証なしで攻撃が可能である点と、データベースからの情報抽出が可能である点で特に深刻な問題となっている。WordPressの広い普及率を考慮すると、この脆弱性を狙った攻撃が増加する可能性が高く、早急なアップデートが求められる状況だ。影響を受けるバージョンを使用しているユーザーは、セキュリティパッチの適用を最優先で検討する必要があるだろう。

今後のプラグイン開発においては、SQLインジェクション対策として、プリペアドステートメントの使用やエスケープ処理の徹底が不可欠となる。また、WordPress本体との連携においても、より安全なデータベース操作の手法を採用することで、同様の脆弱性の発生を防ぐことが期待される。

WordPressエコシステムの健全性を維持するためには、開発者コミュニティによるセキュリティレビューの強化と、脆弱性報告システムの整備が重要となる。プラグインの品質管理体制を見直し、セキュリティテストの自動化を推進することで、より安全なプラグイン開発環境の構築が望まれる。

参考サイト

1. ^ CVE. 「CVE-2024-12613 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-12613, (参照 25-01-21).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧