WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 | ScanNetSecurity
2024.05.24(金)

WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説

 GMOサイバーセキュリティ byイエラエ株式会社は11月28日、同社オフェンシブセキュリティ部アプリケーションセキュリティ課エンジニアの山崎啓太郎氏によるWordPressプラグインAdvanced Custom Fieldsの脆弱性に関する解説記事を同社ブログで公開した。

脆弱性と脅威 セキュリティホール・脆弱性
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 全 1 枚 拡大写真

 GMOサイバーセキュリティ byイエラエ株式会社は11月28日、同社オフェンシブセキュリティ部アプリケーションセキュリティ課エンジニアの山崎啓太郎氏によるWordPressプラグインAdvanced Custom Fieldsの脆弱性に関する解説記事を同社ブログで公開した。

 山崎氏はWordPressプラグインAdvanced Custom Fields におけるデータベース閲覧に関わる認証の欠如(CVE-2021-20865)、ユーザ一覧取得に関わる認証の欠如(CVE-2021-20866)、フィールドグループ移動に関わる認証の欠如(CVE-2021-20867)の脆弱性と認証欠如の脆弱性(CVE-2022-23183)を発見し、Japan Vulnerability Notes(JVN)に報告を行っていた。

 Advanced Custom Fieldsは編集画面をカスタマイズすることを可能にするWordPressプラグインで、ダウンロード数は200万を超える。

 山崎氏が報告を行ったこれらの脆弱性は、ユーザが自身の権限を超えてデータベース内のデータへのアクセスや操作ができ、特にサイトのユーザ登録が許可されていると第三者による悪用が可能となり、実際に本脆弱性によって非公開情報の奪取が可能となったサイトの存在も確認されている。

 CVE-2021-20866、CVE-2021-20867 は、それぞれ「wp_ajax_nopriv_acf/fields/user/query」「wp_ajax_acf/field_group/move_field」を呼び出すことで「購読者」ユーザが本来許可されていないデータの参照・更新が可能となっている。「wp_ajax_nopriv_」フックはログインしていないユーザからの呼び出しも許可されているため、外部の攻撃者にとっては有用であるが、CVE-2021-20866では呼び出しにはログイン後にプラグインの発行するnonce値を手に入れる必要があるため、管理画面へのログインが必要となっている。

 CVE-2021-20865、CVE-2022-23183 は、「wp_ajax_parse_media_shortcode」フック経由の脆弱性で、脆弱性の存在したAdvanced Custom Fields をインストールすることで、Advanced Custom Fields と関係のないデータベース上のデータを取得することが可能になっていた。

 山崎氏は最後に、本脆弱性はAdvanced Custom Fields v5.12.1では全て修正済みなため、それ以前のバージョンを使用している場合はアップデートを推奨している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

    Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]PR

  3. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  4. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  5. ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

    ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

  6. アメリカでは「祖父母詐欺」

    アメリカでは「祖父母詐欺」

  7. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  8. ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

    ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

  9. 実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

    実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

  10. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

ランキングをもっと見る