セキュリティ

SECURITY

公開：2025-01-29

【CVE-2024-13361】AI Power 1.8.96にWordPressプラグインの認証バイパス脆弱性、不正アクセスの危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AI Power 1.8.96以前に認証関連の脆弱性を発見
• 認証済みユーザーによる不正アクセスの可能性
• 画像ファイルとショートコードの組み合わせで攻撃が可能

AI PowerのWordPressプラグインに認証バイパスの脆弱性

WordfenceのセキュリティチームはWordPress用プラグイン「AI Power: Complete AI Pack」の1.8.96以前のバージョンに認証関連の脆弱性を発見し、2025年1月22日に公開した。この脆弱性は機能「wpaicg_save_image_media」における権限チェックの欠落により、認証済みユーザー（Subscriber以上）が不正なアクセスを行える状態になっている。^[1]

この脆弱性は添付ファイルページにPOSTリクエストを送信する際に、画像ファイルのアップロードとimage_alt値へのショートコード属性の埋め込みを組み合わせることで悪用が可能となる。深刻度はCVSS 3.1基準で「MEDIUM」の6.3と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。

Wordfenceはこの脆弱性を「CVE-2024-13361」として識別し、CWEによる脆弱性タイプは認証関連の不備（CWE-862）に分類している。この脆弱性の発見者はMichael Mazzoliniであり、プラグインの開発者に報告され対策版のリリースが行われることになった。

AI Power 1.8.96の脆弱性概要

認証関連の不備について

認証関連の不備とは、システムやアプリケーションにおいて適切な権限チェックが実装されていない状態を指す。主な特徴として以下のような点が挙げられる。

• ユーザーの権限レベルが適切に検証されない
• 認証済みユーザーによる権限昇格が可能
• 意図しない機能へのアクセスが可能

AI Power: Complete AI Packの脆弱性では、wpaicg_save_image_media関数に権限チェック機能が実装されていないことが問題となっている。この脆弱性により、Subscriber以上の権限を持つユーザーが不正なショートコードを実行できる状態となり、セキュリティ上のリスクが発生する可能性が高まっている。

AI Power: Complete AI Packの脆弱性に関する考察

AI Power: Complete AI Packの認証関連の脆弱性は、画像ファイルのアップロード機能という一般的な機能に潜んでいた点が注目に値する。WordPress環境においてSubscriber権限は最も基本的な権限レベルであり、多くのサイトで一般ユーザーに付与されているため、攻撃者にとって権限取得の障壁が低く、潜在的な被害が拡大する可能性が高まっている。

今後はプラグイン開発者に対して、機能実装時の権限チェックの重要性を再認識させる必要がある。特にファイルアップロードやショートコードの実行といった、システムに大きな影響を与える可能性のある機能については、より厳密な権限管理と入力値の検証が求められるだろう。

また、WordPressコミュニティ全体として、プラグインのセキュリティレビューの強化が望まれる。特にAI関連の機能を提供するプラグインは今後も増加が予想されるため、開発段階からのセキュリティ対策の徹底と、定期的な脆弱性診断の実施が重要となってくる。

参考サイト

1. ^ CVE. 「CVE-2024-13361 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-13361, (参照 25-01-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧