セキュリティ

SECURITY

公開：2025-03-15

【CVE-2024-13890】WordPress用プラグインAllow PHP Executeに深刻な脆弱性、エディター権限でPHPコード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Allow PHP ExecuteにPHPコード実行の脆弱性が発見
• エディター以上の権限で不正なPHPコードが実行可能
• バージョン1.0までの全バージョンが影響を受ける

WordPressプラグインAllow PHP Execute 1.0の重大な脆弱性

Wordfenceは2025年3月8日、WordPressプラグインAllow PHP Executeにおいて、PHPコード実行の脆弱性（CVE-2024-13890）を発見したことを公開した。この脆弱性は、エディター以上の権限を持つユーザーがHTML未フィルタリングの状態でPHPコードを投稿や固定ページに注入できてしまうという深刻な問題である。^[1]

この脆弱性は、Common Weakness Enumeration（CWE）においてCWE-94のコード実行の脆弱性として分類されており、CVSS（Common Vulnerability Scoring System）のスコアは7.2（High）と評価されている。Allow PHP Executeの開発元であるsksdevが提供する全バージョンに影響を与える可能性が指摘されているため、早急な対応が求められる。

セキュリティ研究者のFrancesco Carlucciによって発見されたこの脆弱性は、攻撃者がネットワーク経由でアクセス可能であり、攻撃の複雑さは低いとされている。攻撃者は高い特権レベルを必要とするものの、ユーザーの介入なしで攻撃を実行できる可能性があり、機密性、整合性、可用性のすべてに高いリスクをもたらすことが指摘されている。

Allow PHP Execute 1.0の脆弱性詳細

PHPコード実行の脆弱性について

PHPコード実行の脆弱性とは、攻撃者が悪意のあるPHPコードをWebアプリケーション上で実行できる状態を指す。この脆弱性が存在すると、以下のようなリスクが発生する可能性がある。

• データベースへの不正アクセスやデータの改ざん
• サーバー上での任意のコマンド実行
• システムファイルの改ざんや削除

WordPressプラグインのAllow PHP Executeで発見された脆弱性は、エディター以上の権限を持つユーザーがPHPコードを投稿や固定ページに直接埋め込める状態を許可してしまう。このような状態では、正規のユーザーアカウントが乗っ取られた場合に、攻撃者がサーバー上で任意のコードを実行できる危険性が非常に高くなる。

Allow PHP Executeの脆弱性に関する考察

WordPressプラグインの脆弱性管理において、エディター以上の権限を持つユーザーによるPHPコード実行を許可する仕様は根本的な設計上の問題を抱えている。プラグインの開発者は、コンテンツ管理における柔軟性と安全性のバランスを慎重に検討する必要があるが、今回の事例ではセキュリティよりも機能性が優先されてしまった可能性が高い。

今後の対策として、PHPコードの実行権限をより厳密に制御する仕組みの実装や、コード実行前のバリデーション強化が必要不可欠である。特に、WordPress管理画面でのユーザー権限の階層構造を考慮した上で、プラグインごとの権限設定をより細かく制御できるような機能の追加が望まれる。

また、WordPressプラグインのセキュリティレビューにおいて、コード実行に関する権限管理の審査基準をより厳格化することも検討すべきである。プラグインの開発者コミュニティと協力して、セキュリティベストプラクティスの共有や、脆弱性の早期発見・報告の仕組みを強化することで、同様の問題の再発を防ぐことができるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13890, (参照 25-03-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧