セキュリティ

SECURITY

公開：2025-02-07

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WooCommerce Wishlistに未認証のウィッシュリスト情報漏洩の脆弱性
• バージョン1.8.7以前の全バージョンが影響を受ける
• CVSSスコア7.5のハイリスク脆弱性として評価

WooCommerce Wishlist 1.8.7の深刻な脆弱性が発覚

WordfenceはWordPress用プラグイン「WooCommerce Wishlist」にInsecure Direct Object Referenceの脆弱性が発見されたことを2025年1月30日に公開した。この脆弱性は未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題であり、バージョン1.8.7以前の全バージョンに影響を及ぼすことが判明している。^[1]

この脆弱性はCVE-2024-13694として識別されており、CWEによる脆弱性タイプは不適切な認証（CWE-285）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権は不要だが利用者の関与は必要とされ、影響の想定範囲に変更があるとされている。

また、CVSSスコアは7.5と評価され、深刻度は「High」に分類されている。この脆弱性は機密性への影響が高く、完全性と可用性への影響は無いとされているが、特権が不要な状態で攻撃可能であることから、早急な対応が求められる状況だ。

WooCommerce Wishlist 1.8.7の脆弱性詳細

Insecure Direct Object Referenceについて

Insecure Direct Object Referenceとは、Webアプリケーションにおいて適切なアクセス制御が実装されていないために、認証されていないユーザーが本来アクセスできないはずのリソースにアクセスできてしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• URLやパラメータの操作による未認証アクセス
• アクセス制御の欠如による情報漏洩
• 認証や認可の不備による権限昇格

WooCommerce Wishlistの脆弱性では、download_pdf_file関数におけるユーザー制御可能なキーの検証が欠如していることが問題となっている。この脆弱性を悪用されると、攻撃者は本来アクセス権限のないウィッシュリストの情報を取得することが可能になるため、早急な対策が必要だ。

WooCommerce Wishlistの脆弱性に関する考察

今回の脆弱性は、ECサイトにおけるユーザーのプライバシー保護という観点で重要な問題を提起している。ウィッシュリスト機能は顧客の購買意欲や興味を直接的に示すデータであり、このような情報が第三者に漏洩することは、顧客のプライバシーを著しく侵害する可能性があるため、早急な対応が必要である。

開発者は今後、ユーザー認証とアクセス制御の実装において、より厳密なセキュリティチェックを行う必要があるだろう。特にファイルダウンロード機能については、認証済みユーザーの権限確認やリソースへのアクセス制御を徹底的に見直すことが求められる。また、プラグインの開発においては、セキュリティテストの強化とコードレビューの徹底が不可欠だ。

今後は、WordPressプラグインのセキュリティ審査基準の厳格化や、定期的な脆弱性診断の実施など、より包括的なセキュリティ対策が求められる。特にECサイト関連のプラグインについては、顧客データの保護という観点から、より高度なセキュリティ基準の策定と遵守が重要になるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13694, (参照 25-02-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧