セキュリティ

SECURITY

公開：2025-02-08

【CVE-2024-13372】WP Job Portal 2.2.6以前に認証バイパスの脆弱性、履歴書情報の漏洩リスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WP Job Portalのバージョン2.2.6以前に脆弱性が発見
• 認証なしで履歴書データの不正ダウンロードが可能
• 任意のユーザーの履歴書情報が漏洩するリスク

WP Job Portal 2.2.6以前の脆弱性によりユーザーの履歴書情報が危険に

WordPressのプラグイン「WP Job Portal – A Complete Recruitment System for Company or Job Board website」において、バージョン2.2.6以前に深刻な脆弱性が2025年2月1日に報告された。この脆弱性は【CVE-2024-13372】として識別されており、getresumefiledownloadbyid()およびgetallresumefiles()関数における検証の不備に起因している。^[1]

本脆弱性は認証されていない攻撃者が、ユーザー制御キーに対する適切な検証がないことを悪用して、許可なく任意のユーザーの履歴書をダウンロードすることを可能にする。WordPressプラグインの重要な機能である履歴書管理システムにおいて、情報漏洩のリスクが存在することが明らかになった。

CVSSスコアは5.3（MEDIUM）と評価されており、攻撃の複雑さは低く、特権も不要とされている。この脆弱性は機密性への影響が懸念される一方で、完全性や可用性への影響は限定的であることが示されている。

WP Job Portal 2.2.6の脆弱性詳細

Insecure Direct Object Referenceについて

Insecure Direct Object Reference（IDOR）とは、Webアプリケーションにおける認可の脆弱性の一種で、適切なアクセス制御が実装されていない状態を指す。主な特徴として、以下のような点が挙げられる。

• ユーザー制御可能なパラメータを通じて直接オブジェクトにアクセス可能
• 認証・認可の検証が不十分または欠如
• 他のユーザーの情報や機密データへの不正アクセスが可能

WP Job Portalの事例では、getresumefiledownloadbyid()およびgetallresumefiles()関数において、ユーザー制御キーに対する適切な検証が実装されていないことが問題となっている。この脆弱性により、認証されていない攻撃者が任意のユーザーの履歴書データにアクセスできる状態が発生している。

WP Job Portal脆弱性に関する考察

WP Job Portalの脆弱性は、求人サイトという性質上、極めて深刻な個人情報漏洩につながる可能性がある。履歴書には氏名、住所、職歴、学歴など、センシティブな情報が多く含まれており、これらが第三者に不正に取得されることで、なりすましや個人情報の悪用などの二次被害が懸念される。

プラグイン開発者は今後、ユーザー認証システムの強化と、オブジェクトレベルでのアクセス制御の実装を徹底する必要がある。特に、ファイルダウンロード機能においては、認証済みユーザーの権限確認と、アクセス対象の妥当性検証を組み合わせた多層的なセキュリティ対策が求められるだろう。

長期的には、WordPressプラグインのセキュリティレビューの強化と、開発者向けのセキュアコーディングガイドラインの整備が重要となる。特に個人情報を扱うプラグインについては、定期的な脆弱性診断の実施と、発見された問題への迅速な対応体制の構築が不可欠である。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13372, (参照 25-02-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧