WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 | ScanNetSecurity
2024.07.26(金)

WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説

 GMOサイバーセキュリティ byイエラエ株式会社は11月28日、同社オフェンシブセキュリティ部アプリケーションセキュリティ課エンジニアの山崎啓太郎氏によるWordPressプラグインAdvanced Custom Fieldsの脆弱性に関する解説記事を同社ブログで公開した。

脆弱性と脅威
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説

 GMOサイバーセキュリティ byイエラエ株式会社は11月28日、同社オフェンシブセキュリティ部アプリケーションセキュリティ課エンジニアの山崎啓太郎氏によるWordPressプラグインAdvanced Custom Fieldsの脆弱性に関する解説記事を同社ブログで公開した。

 山崎氏はWordPressプラグインAdvanced Custom Fields におけるデータベース閲覧に関わる認証の欠如(CVE-2021-20865)、ユーザ一覧取得に関わる認証の欠如(CVE-2021-20866)、フィールドグループ移動に関わる認証の欠如(CVE-2021-20867)の脆弱性と認証欠如の脆弱性(CVE-2022-23183)を発見し、Japan Vulnerability Notes(JVN)に報告を行っていた。

 Advanced Custom Fieldsは編集画面をカスタマイズすることを可能にするWordPressプラグインで、ダウンロード数は200万を超える。

 山崎氏が報告を行ったこれらの脆弱性は、ユーザが自身の権限を超えてデータベース内のデータへのアクセスや操作ができ、特にサイトのユーザ登録が許可されていると第三者による悪用が可能となり、実際に本脆弱性によって非公開情報の奪取が可能となったサイトの存在も確認されている。

 CVE-2021-20866、CVE-2021-20867 は、それぞれ「wp_ajax_nopriv_acf/fields/user/query」「wp_ajax_acf/field_group/move_field」を呼び出すことで「購読者」ユーザが本来許可されていないデータの参照・更新が可能となっている。「wp_ajax_nopriv_」フックはログインしていないユーザからの呼び出しも許可されているため、外部の攻撃者にとっては有用であるが、CVE-2021-20866では呼び出しにはログイン後にプラグインの発行するnonce値を手に入れる必要があるため、管理画面へのログインが必要となっている。

 CVE-2021-20865、CVE-2022-23183 は、「wp_ajax_parse_media_shortcode」フック経由の脆弱性で、脆弱性の存在したAdvanced Custom Fields をインストールすることで、Advanced Custom Fields と関係のないデータベース上のデータを取得することが可能になっていた。

 山崎氏は最後に、本脆弱性はAdvanced Custom Fields v5.12.1では全て修正済みなため、それ以前のバージョンを使用している場合はアップデートを推奨している。

《ScanNetSecurity》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. セキュリティホール情報<2003/05/06-1>

    セキュリティホール情報<2003/05/06-1>

  2. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

    裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  3. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

    スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  4. セキュリティホール情報<2009/04/17>

  5. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  6. UPSからの配送失敗メールを装うスパムに注意喚起、情報流出の可能性(Dr.WEB)

  7. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  8. 変更不可の個人情報、SNS投稿による生体情報漏えいの危険性

  9. はじめてのショックウェーブ/フラッシュウイルスが発見される

  10. セキュリティホール情報<2009/10/20>

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×