Defiantは12月10日(米国時間)、「WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation」において、WordPressの人気のプラグイン「WPForms」に重大な脆弱性が存在すると報じた。

この脆弱性を悪用されると、サブスクライバのアクセス権を持つ攻撃者に不正な払い戻しまたはサブスクリプションをキャンセルされる可能性がある。

  • WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation

    WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation

脆弱性の情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-11205 - 不十分な権限確認の脆弱性(CVSSスコア: 8.5)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • WPForms 1.8.4から1.9.2.1以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • WPForms 1.9.2.2

影響と対策

WPFormsを利用して支払いやサブスクリプションを管理しているWordPressサイトは、この脆弱性により損失を被る可能性がある。本稿執筆時点において、このプラグインは600万以上のWebサイトに利用されており、その半数以上が脆弱なバージョンを利用しているものと推測されている。

  • プラグインのバージョン分布 - 引用:wordpress.org

    プラグインのバージョン分布 引用:wordpress.org

脆弱性の深刻度は重要(Important)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。