セキュリティ

SECURITY

公開：2025-02-26

【CVE-2024-13704】WordPress用Super Testimonialsプラグインにクロスサイトスクリプティングの脆弱性、バージョン4.0.1まで影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Super Testimonialsにクロスサイトスクリプティングの脆弱性
• WordPressプラグインのバージョン4.0.1まで影響
• 未認証の攻撃者による任意のスクリプト実行が可能

Super Testimonials 4.0.1のクロスサイトスクリプティング脆弱性

WordFenceは2025年2月18日、WordPressプラグイン「Super Testimonials」のバージョン4.0.1以前に存在するクロスサイトスクリプティングの脆弱性を公開した。この脆弱性は「st_user_title」パラメータにおける入力サニタイズと出力エスケープの不備により発生しており、CVSSスコアは7.2（High）と評価されている。^[1]

この脆弱性により、認証されていない攻撃者が任意のWebスクリプトをページに挿入することが可能となっており、ユーザーがそのページにアクセスした際にスクリプトが実行される危険性がある。脆弱性はCVE-2024-13704として識別されており、CWE-80（基本的なXSS）に分類されている。

脆弱性の発見者はKrzysztof Zajacであり、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）による評価では、この脆弱性の悪用は自動化可能であり、技術的な影響は部分的とされている。WordFenceはプラグインの詳細な分析結果をセキュリティアドバイザリとして公開している。

Super Testimonials 4.0.1の脆弱性詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種であり、攻撃者が悪意のあるスクリプトをWebページに挿入できる状態を指す。主な特徴として、以下のような点が挙げられる。

• 入力値の検証やエスケープ処理の不備により発生
• ユーザーのブラウザ上で不正なスクリプトが実行される
• セッション情報の窃取やフィッシング詐欺に悪用される可能性

Super Testimonialsの脆弱性は、「st_user_title」パラメータにおける入力値の不適切な処理に起因している。WordFenceの分析によると、この脆弱性は認証されていない攻撃者によって容易に悪用される可能性があり、Webサイトの訪問者に対して広範な影響を及ぼす可能性があるため、早急な対応が推奨されている。

Super Testimonialsの脆弱性に関する考察

Super Testimonialsの脆弱性は、WordPressプラグインにおける入力値の検証とエスケープ処理の重要性を再認識させる事例となっている。特にユーザー入力を直接出力する機能を持つプラグインでは、セキュリティ対策の実装が不可欠であり、開発者はWebアプリケーションセキュリティの基本原則に従った実装を徹底する必要があるだろう。

今後は同様の脆弱性を防ぐため、WordPressプラグインの開発者向けセキュリティガイドラインの整備や、自動化されたセキュリティテストツールの導入が求められる。特にユーザー入力を扱うプラグインについては、開発段階からセキュリティレビューを含めた品質管理プロセスの確立が重要になってくるだろう。

また、プラグインのセキュリティアップデートの配信体制も課題となっている。脆弱性が発見されてから修正版のリリースまでの時間を短縮し、ユーザーへの影響を最小限に抑えるための体制作りが必要だ。WordPressコミュニティ全体でセキュリティ意識を高め、より安全なエコシステムを構築することが望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13704, (参照 25-02-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧