セキュリティ

SECURITY

公開：2025-01-29

【CVE-2024-13360】AI Power: Complete AI Pack 1.8.96以前にSSRF脆弱性、認証済みユーザーによる内部サービスへの不正アクセスが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AI Power: Complete AI Pack 1.8.96までにSSRF脆弱性
• 認証済みユーザーによる内部サービスへのアクセスが可能に
• wpaicg_troubleshoot_add_vector関数に脆弱性を確認

AI Power: Complete AI Packの脆弱性でSSRFが可能に

WordPressのプラグインAI Power: Complete AI Packにサーバーサイドリクエストフォージェリの脆弱性が発見され、2025年1月22日に公開された。この脆弱性は【CVE-2024-13360】として識別されており、バージョン1.8.96以前の全てのバージョンに影響を与えることが判明している。^[1]

脆弱性はwpaicg_troubleshoot_add_vector関数に存在し、認証済みユーザーが内部サービスに対して任意のWebリクエストを送信できる状態となっていた。WordPressの権限レベルではSubscriber以上のユーザーが影響を受け、攻撃者は内部サービスの情報を取得や改変する可能性が指摘されている。

CVSSスコアは5.4（Medium）と評価され、攻撃の成功には認証が必要だが、攻撃の複雑さは低いとされている。この脆弱性はCWE-918（Server-Side Request Forgery）に分類され、Wordfenceのセキュリティ研究者Khayal Farzaliyevによって発見された。

AI Power: Complete AI Packの脆弱性詳細

サーバーサイドリクエストフォージェリについて

サーバーサイドリクエストフォージェリ（SSRF）とは、攻撃者が脆弱性のあるWebアプリケーションを経由して、内部ネットワーク上のサービスやシステムに不正なリクエストを送信する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 内部ネットワークへの不正アクセスが可能
• ファイアウォールをバイパスした攻撃が実行可能
• 内部システムの情報漏洩や改ざんのリスクが存在

SSRF攻撃は特にクラウド環境において深刻な影響をもたらす可能性がある。攻撃者はメタデータサービスやクラウドストレージ、データベースなどの内部リソースにアクセスし、機密情報の窃取や権限の昇格を試みることが可能だ。

AI Power: Complete AI Packの脆弱性に関する考察

今回の脆弱性が発見されたことで、WordPressプラグインのセキュリティ管理の重要性が改めて浮き彫りとなった。特にAI関連のプラグインは機能が豊富で複雑化する傾向にあり、開発者は脆弱性対策により一層の注意を払う必要がある。プラグインの開発においては、入力値の検証や認証機能の強化など、基本的なセキュリティ対策を徹底することが求められるだろう。

AI Power: Complete AI Packの利用者は、アップデートの適用を迅速に行うとともに、WordPressの権限管理も見直す必要がある。Subscriber権限を持つユーザーアカウントの付与は慎重に行い、必要最小限の権限設定を心がけることが推奨される。また、内部ネットワークのセグメンテーションやアクセス制御の見直しも重要な対策となるだろう。

今後はAI関連プラグインの増加に伴い、同様の脆弱性が発見される可能性も考えられる。プラグイン開発者はセキュリティテストの強化やコードレビューの徹底を図り、脆弱性の早期発見と対策に努める必要がある。利用者側も定期的なセキュリティアップデートの確認や、不要なプラグインの削除など、予防的な対策を講じることが重要だ。

参考サイト

1. ^ CVE. 「CVE-2024-13360 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-13360, (参照 25-01-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧