セキュリティ

SECURITY

公開：2025-02-27

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライベートメッセージ閲覧の脆弱性が発見、情報漏洩のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ProfileGrid 5.9.4.2以前にIDORの脆弱性が発見
• Subscriber以上の権限で他ユーザーのプライベートメッセージを閲覧可能
• pm_messenger_show_messages関数のキー検証に問題

ProfileGrid 5.9.4.2のプライベートメッセージ機能に重大な脆弱性

WordfenceはWordPress用プラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.2以前に、不適切な直接オブジェクト参照（IDOR）の脆弱性が存在することを2025年2月18日に公開した。この脆弱性は、ユーザー制御可能なキーの検証が不十分なpm_messenger_show_messages関数に起因しており、深刻な情報漏洩のリスクが指摘されている。^[1]

この脆弱性により、Subscriber以上の権限を持つ認証済みユーザーが、他のユーザーのプライベートメッセージを閲覧できる状態となっていることが判明した。WordPressプラグインの重要な機能であるメッセージングシステムにおいて、プライバシー保護の観点から非常に深刻な問題となっている。

脆弱性の深刻度はCVSS v3.1で4.3（MEDIUM）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。この脆弱性は【CVE-2024-13740】として識別され、SSVCではExploitation:none、Automatable:no、Technical Impact:partialと分類されている。

ProfileGrid 5.9.4.2の脆弱性情報まとめ

不適切な直接オブジェクト参照について

不適切な直接オブジェクト参照（IDOR）とは、Webアプリケーションのセキュリティ上の脆弱性の一つで、以下のような特徴を持つ認可バイパスの問題を指す。

• ユーザーが権限のないリソースに直接アクセス可能
• 入力値の検証が不十分な状態でオブジェクト参照が許可
• アクセス制御機能のバイパスが可能

ProfileGridの事例では、pm_messenger_show_messages関数においてユーザー制御可能なキーの検証が不十分であったことが問題となっている。このような脆弱性は、適切なアクセス制御の実装と入力値の厳密な検証によって防ぐことが可能であり、特にユーザー間でメッセージをやり取りする機能では重要な対策となっている。

ProfileGrid 5.9.4.2の脆弱性に関する考察

ProfileGridにおけるIDOR脆弱性の発見は、WordPress用プラグインのセキュリティ管理における重要な課題を浮き彫りにしている。特にSubscriber権限という比較的低い権限レベルでも他者のプライベートメッセージにアクセスできる状態は、ユーザーのプライバシー保護の観点から非常に深刻な問題となっているのだ。

今後は同様の脆弱性を防ぐため、開発者はユーザー制御可能なパラメータに対する入力値検証とアクセス制御の強化が必要となるだろう。特にメッセージング機能のような機密性の高い機能においては、より厳格なセキュリティチェックの実装と定期的なセキュリティ監査の実施が求められている。

また、WordPressプラグインのエコシステム全体として、セキュリティレビューのプロセスを強化する必要性も指摘できる。プラグイン開発者向けのセキュリティガイドラインの整備や、自動化されたセキュリティテストツールの提供など、より包括的なアプローチが望まれるところだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13740, (参照 25-02-27).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧