セキュリティ

SECURITY

公開：2024-09-06

【CVE-2024-45429】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性、最新バージョンへのアップデートが必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Advanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
• 脆弱性はフィールドラベルに存在し、任意のスクリプト実行が可能
• 最新バージョン6.3.6へのアップデートで修正可能

WordPress用プラグインAdvanced Custom Fieldsの脆弱性発見

WP Engineが提供するWordPress用プラグインAdvanced Custom Fieldsにおいて、クロスサイトスクリプティング（XSS）の脆弱性が2024年9月4日に発見された。この脆弱性は、フィールドラベルに存在し、攻撃者が任意のスクリプトを実行できる可能性がある。^[1]

影響を受けるバージョンは、Advanced Custom Fields 6.3.5およびそれ以前のバージョン、Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョンだ。攻撃者は、当該製品の設定情報で設定された'capability'設定権限を有している必要がある。

この脆弱性は、CVE-2024-45429として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。CVSS v3の基本値は5.4と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。

Advanced Custom Fieldsの脆弱性詳細

クロスサイトスクリプティング（XSS）について

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性を悪用した攻撃手法の一つであり、主な特徴として以下のような点が挙げられる。

• 攻撃者が悪意のあるスクリプトをWebページに挿入可能
• ユーザーのブラウザ上で不正なスクリプトが実行される
• ユーザーの個人情報やセッション情報が漏洩する危険性がある

Advanced Custom Fieldsの脆弱性では、フィールドラベルにXSS攻撃が可能な状態となっていた。攻撃者が当該製品の設定権限を持っている場合、フィールドラベルに悪意のあるスクリプトを保存し、他のユーザーがそのページを閲覧した際に不正なスクリプトが実行される可能性がある。

WordPress用プラグインAdvanced Custom Fieldsの脆弱性に関する考察

Advanced Custom Fieldsの脆弱性が発見されたことは、WordPressのエコシステムにおけるセキュリティの重要性を再認識させる出来事だ。この脆弱性は特定の権限を持つユーザーのみが悪用可能だが、管理者アカウントが侵害された場合や内部犯行の際に深刻な被害をもたらす可能性がある。今後は、プラグイン開発者がより厳格なセキュリティレビューを実施し、定期的な脆弱性診断を行うことが求められるだろう。

一方で、この事例はオープンソースコミュニティの強みも示している。脆弱性が外部の専門家によって発見され、速やかに修正版がリリースされたことは評価に値する。今後は、プラグイン開発者とセキュリティ研究者の協力関係をより強化し、脆弱性の早期発見と迅速な対応体制を構築することが重要になるだろう。

ユーザー側の対策としては、常に最新バージョンを使用することに加え、不要なプラグインを削除し、必要最小限の機能のみを利用することが推奨される。また、WordPressの管理者は、定期的にセキュリティ監査を実施し、異常な動作や不審なアクティビティを監視する習慣を身につけるべきだ。このような多層的なアプローチにより、WordPressサイトのセキュリティを向上させることができるだろう。

参考サイト

1. ^ JVN. 「JVN#67963942: WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性」. https://jvn.jp/jp/JVN67963942/index.html, (参照 24-09-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧