Wordpress向けのセキュリティプラグイン「Wordfence」を提供しているDefiantが1月13日、公式ブログ「84,000 WordPress Sites Affected by Three Plugins With The Same Vulnerability」において、約8万4,000のWordPressサイトが使用している3つのプラグインに発見された脆弱性について伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けるWordPressサイトの任意のサイトオプションを変更される恐れがあるという。

この脆弱性はWordfenceの脅威インテリジェンスチームによって2021年11月5日に最初に報告され、CVE-2022-0215として追跡されている。攻撃者はこの脆弱性を悪用して対象のサイトにクロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けることができ、もしサイトの管理者をだましてリンクをクリックさせるなどのアクションを取らせることができれば、サイトオプションを任意の値に変更することが可能となる。その結果として、サイトの完全な乗っ取りにるながる可能性もあると指摘されている。

  • 3つのWordPressプラグインに影響するクロスサイトリクエストフォージェリの脆弱性

    3つのWordPressプラグインに影響するクロスサイトリクエストフォージェリの脆弱性

Wordfenceチームによる追跡調査によって、CVE-2022-0215は次の3つのWOrdPressプラグインに共通で含まれていることが判明している。

  • Login/Signup Popup (20,000サイト以上が利用)
  • Waitlist Woocommerce ( Back in stock notifier ) (60,000サイト以上が利用)
  • Side Cart Woocommerce (Ajax) (4,000サイト以上が利用)

これらのプラグインはいずれもeコマース向けプラグインであるWooCommerceの機能を拡張するためのもので、すべて同じ開発者によって開発されている。脆弱性に対処するためのパッチは既にリリースされており、それぞれ次のバージョンにアップデートすることで、CVE-2022-0215の影響を回避することができる。

  • Login/Signup Popup バージョン2.3 (2021年11月24日リリース)
  • WaitlistWoocommerce (Back in stock notifier) バージョン2.5.2 (2021年12月17日リリース)
  • Side Cart Woocommerce (Ajax) バージョン2.1 (2021年12月17日リリース)

CVE-2022-0215のCVSS v3のベーススコアは8.8で、深刻度「Important(重要)」に分類されている。Wordfenceチームでは、もし知人や同僚がこれらのプラグインを利用している場合、Wordfenceによるセキュリティアドバイザリを転送して注意喚起を促すよう呼びかけている。