セキュリティ

SECURITY

公開：2025-03-04

【CVE-2024-13513】WooCommerce POSプラグインに重大な脆弱性、未認証攻撃者によるサイト乗っ取りの危険性が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Oliver POSのWooCommerce POSプラグインに深刻な脆弱性
• バージョン2.4.2.3までが影響を受ける情報漏洩の脆弱性
• 未認証の攻撃者によるサイト乗っ取りの可能性

Oliver POSのWooCommerce POSプラグイン バージョン2.4.2.3の重大な脆弱性

WordfenceはWordPress向けOliver POSのWooCommerce Point of Sale (POS)プラグインにおいて、バージョン2.4.2.3以前に深刻な情報漏洩の脆弱性が発見されたことを2025年2月15日に公開した。この脆弱性は未認証の攻撃者がログ機能を通じて機密データを抽出し、ユーザーアカウント情報を変更できる重大な問題となっている。^[1]

攻撃者はプラグインのclientTokenを取得することで、ユーザーアカウントのメールアドレスやアカウントタイプを変更することが可能となる。さらにパスワードの変更も可能となるため、サイトの完全な乗っ取りにつながる可能性が非常に高い状況だ。

バージョン2.4.2.3ではログ機能が無効化されたものの、既存のログファイルを持つサイトは依然として脆弱な状態が継続している。CVSSスコアは9.8とクリティカルなレベルに分類されており、早急な対応が求められる深刻な脆弱性となっている。

Oliver POSプラグインの脆弱性詳細

特権昇格について

特権昇格とは、システムやアプリケーション上で通常よりも高い権限を不正に取得することを指す脆弱性の一種であり、主な特徴として以下のような点が挙げられる。

• 正規のユーザー権限を超えた操作が可能になる
• システム管理者レベルの権限が取得できる
• 重要な設定やデータの改ざんが可能になる

Oliver POSプラグインの場合、未認証の攻撃者がログ機能を悪用してclientTokenを取得し、管理者権限相当の操作が可能となる深刻な脆弱性が確認されている。攻撃者はこの権限を利用してユーザーアカウント情報を改ざんし、最終的にはサイト全体を制御下に置くことが可能となってしまう。

WooCommerce POSプラグインの脆弱性に関する考察

POSシステムは店舗運営の要となるため、この脆弱性は小売業者に深刻な影響を及ぼす可能性がある。特にWooCommerceを利用したオンラインストアとPOSシステムを統合している事業者にとって、サイト乗っ取りのリスクは事業継続の観点から非常に重大な脅威となっている。今後は認証機能の強化やログ機能のセキュリティ設計の見直しが必要となるだろう。

プラグインのセキュリティ管理においては、定期的な脆弱性診断と迅速なアップデート適用が重要となる。特にECサイトの場合、決済情報や個人情報の漏洩リスクも考慮する必要があるため、セキュリティパッチの適用を自動化するような仕組みの導入も検討に値するだろう。

また、プラグイン開発者側には、セキュアコーディングの徹底やセキュリティテストの強化が求められる。特に認証機能や権限管理に関わる部分については、外部の専門家によるセキュリティレビューを定期的に実施することで、同様の脆弱性の発生を未然に防ぐことができるはずだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13513, (参照 25-03-04).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧