セキュリティ

SECURITY

公開：2025-02-27

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回避の脆弱性、未認証での情報改ざんが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WooCommerceのGift Cardsプラグインに認証回避の脆弱性
• バージョン4.4.6以前で権限チェック機能の欠如
• 未認証の攻撃者によるギフトカード情報の改ざんが可能

Gift Cards WooCommerceプラグイン4.4.6の脆弱性

WordfenceはWordPress用プラグイン「Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)」のバージョン4.4.6以前に深刻な脆弱性が存在することを2025年2月20日に公開した。この脆弱性は権限チェック機能の欠如により、未認証の攻撃者がギフトカードの価格や有効期限、ユーザーノートを改変できる状態にあることが判明している。^[1]

脆弱性はCVE-2024-13520として識別されており、Common Weakness Enumeration (CWE)による分類ではCWE-862の認証欠落に分類されている。CVSSスコアは5.3（MEDIUM）と評価され、ネットワークからのアクセスで攻撃が可能であり、特別な権限や利用者の操作を必要としない状態であることが明らかになった。

この脆弱性は'update_voucher_price'、'update_voucher_date'、'update_voucher_note'の各機能において権限チェックが実装されていないことに起因している。これにより未認証の攻撃者がギフトカードの情報を不正に改変できる状態となっており、早急な対策が必要とされている。

Gift Cards WooCommerceプラグインの脆弱性詳細

認証の欠落（CWE-862）について

認証の欠落（CWE-862）とは、システムが重要な操作を実行する前に適切な認証チェックを行わない脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 権限のないユーザーが制限された機能にアクセス可能
• システムのセキュリティ境界が効果的に機能していない
• 重要なデータや機能が不正アクセスにさらされる

Gift Cards WooCommerceプラグインの場合、価格更新や有効期限更新、ユーザーノート更新の機能において認証チェックが実装されていないことが確認されている。この脆弱性により、未認証の攻撃者がギフトカードの重要な情報を改変できる状態となっており、早急なアップデートによる対策が推奨されている。

Gift Cards WooCommerceプラグインの脆弱性に関する考察

この脆弱性が特に深刻なのは、eコマースサイトで扱われるギフトカードという金銭的価値を持つデジタル資産に影響を与える可能性がある点である。未認証の攻撃者が価格を改変できることは、直接的な経済的損失につながる可能性があり、特に年末年始やセール期間中には重大な影響を及ぼす可能性が高いだろう。

脆弱性対策として、プラグインの開発者は認証システムの全面的な見直しと、重要な操作に対する多層的な権限チェックの実装を検討する必要がある。また、今後の機能追加時には、セキュリティテストの強化とコードレビューの徹底が求められるだろう。

長期的な対策としては、WordPressプラグインのセキュリティ審査プロセスの強化が望まれる。特に決済関連のプラグインについては、より厳格な審査基準の策定と定期的なセキュリティ監査の実施が必要となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13520, (参照 25-02-27).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧