WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 | ScanNetSecurity
2023.02.07(火)

WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説

 GMOサイバーセキュリティ byイエラエ株式会社は11月28日、同社オフェンシブセキュリティ部アプリケーションセキュリティ課エンジニアの山崎啓太郎氏によるWordPressプラグインAdvanced Custom Fieldsの脆弱性に関する解説記事を同社ブログで公開した。

脆弱性と脅威 セキュリティホール・脆弱性
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 全 1 枚 拡大写真

 GMOサイバーセキュリティ byイエラエ株式会社は11月28日、同社オフェンシブセキュリティ部アプリケーションセキュリティ課エンジニアの山崎啓太郎氏によるWordPressプラグインAdvanced Custom Fieldsの脆弱性に関する解説記事を同社ブログで公開した。

 山崎氏はWordPressプラグインAdvanced Custom Fields におけるデータベース閲覧に関わる認証の欠如(CVE-2021-20865)、ユーザ一覧取得に関わる認証の欠如(CVE-2021-20866)、フィールドグループ移動に関わる認証の欠如(CVE-2021-20867)の脆弱性と認証欠如の脆弱性(CVE-2022-23183)を発見し、Japan Vulnerability Notes(JVN)に報告を行っていた。

 Advanced Custom Fieldsは編集画面をカスタマイズすることを可能にするWordPressプラグインで、ダウンロード数は200万を超える。

 山崎氏が報告を行ったこれらの脆弱性は、ユーザが自身の権限を超えてデータベース内のデータへのアクセスや操作ができ、特にサイトのユーザ登録が許可されていると第三者による悪用が可能となり、実際に本脆弱性によって非公開情報の奪取が可能となったサイトの存在も確認されている。

 CVE-2021-20866、CVE-2021-20867 は、それぞれ「wp_ajax_nopriv_acf/fields/user/query」「wp_ajax_acf/field_group/move_field」を呼び出すことで「購読者」ユーザが本来許可されていないデータの参照・更新が可能となっている。「wp_ajax_nopriv_」フックはログインしていないユーザからの呼び出しも許可されているため、外部の攻撃者にとっては有用であるが、CVE-2021-20866では呼び出しにはログイン後にプラグインの発行するnonce値を手に入れる必要があるため、管理画面へのログインが必要となっている。

 CVE-2021-20865、CVE-2022-23183 は、「wp_ajax_parse_media_shortcode」フック経由の脆弱性で、脆弱性の存在したAdvanced Custom Fields をインストールすることで、Advanced Custom Fields と関係のないデータベース上のデータを取得することが可能になっていた。

 山崎氏は最後に、本脆弱性はAdvanced Custom Fields v5.12.1では全て修正済みなため、それ以前のバージョンを使用している場合はアップデートを推奨している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ファイル誤添付メール送信で戒告の懲戒処分

    ファイル誤添付メール送信で戒告の懲戒処分

  2. 教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

    教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

  3. 不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

    不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

  4. 三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

    三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

  5. 尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

    尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

  6. 給油所でシステム障害発生 8時間給油停止に

    給油所でシステム障害発生 8時間給油停止に

  7. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  8. 東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

    東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

  9. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

    「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  10. WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

    WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

ランキングをもっと見る