Defiantはこのほど、「miniOrange Addresses Authentication Bypass Vulnerability in WordPress Social Login and Register WordPress Plugin」において、WordPressの人気プラグインである「WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn)」に重大な脆弱性があると伝えた。3万以上のWordPressサイトにインストールされているプラグインに認証バイパスの脆弱性があることが明らかとなった。

  • miniOrange Addresses Authentication Bypass Vulnerability in WordPress Social Login and Register WordPress Plugin

    miniOrange Addresses Authentication Bypass Vulnerability in WordPress Social Login and Register WordPress Plugin

脆弱性は「CVE-2023-2982」として追跡されており、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値は9.8で深刻度は緊急(Critical)に位置づけられている。この脆弱性が悪用された場合、未認証の攻撃者がユーザーに関連する電子メールアドレスを知るか見つけることで、Webサイトの管理者アカウントを含むあらゆるアカウントにアクセスできる危険性があるとされている。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) バージョン7.6.4以下

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) バージョン7.6.5

WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) は、さまざまなソーシャルメディアプラットフォームやサービスプロバイダーを通じてWordPressサイトにログインするためのソーシャルログイン機能を提供するプラグイン。すでに3万を超えるアクティブインストールが確認されている。該当するプラグインを使用している場合は、問題が修正されたバージョンへアップデートすることが望まれる。