WordPressでサービス予約・管理を行うプラグイン「Service Finder Bookings」のバージョン 6.0 以下のすべてのバージョンで、重大なセキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない攻撃者でも管理者権限を取得し、サイト全体を制御することが可能となっています。ユーザー切り替え機能の設計に問題があり、Cookie情報を操作することで任意のユーザーアカウントに成りすましできる状態です。
2025年7月8日現在、この脆弱性への対策版がまだリリースされていないため、セキュリティリスクを考慮し、直ちにこのプラグインの削除を強く推奨します。削除できない事情がある場合には、専門家等にご相談ください。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・管理者権限の不正取得 - ログインしていない攻撃者が管理者としてサイトにアクセス可能 - サイト全体の設定変更、プラグイン・テーマの操作が可能 - 他の全ユーザーアカウントへの自由なアクセス ・顧客・利用者の個人情報漏洩 - 予約情報、顧客データベースへの不正アクセス - ユーザーのプロフィール情報、連絡先の窃取 - サービス利用履歴や決済関連情報の漏洩 ・サイト改ざん・不正利用 - 予約システムに偽の情報や詐欺コンテンツを挿入 - 顧客を偽の決済ページに誘導する仕組みの構築 - サイトがマルウェア配布拠点として悪用される可能性 ・継続的なアクセス維持 - 一度侵入されると新しい管理者アカウントを作成される - 正規の更新作業後も不正アクセスが継続する可能性 - 気づかないうちに長期間にわたって被害が拡大 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) Cookie情報による認証制御の不備 ・ユーザー切り替え機能で「original_user_id」Cookieを信頼した認証処理 ・Cookieは利用者のブラウザで自由に編集可能な情報 ・攻撃者が任意のユーザーIDを設定してそのユーザーとしてログイン可能 (2) CSRF攻撃への無防備な設計 ・ユーザー切り替えがGETリクエストで実行される仕様 ・CSRFトークンやnonce等の偽装防止機能が未実装 ・悪意のあるリンクを踏ませるだけで不正な権限切り替えが実行される (3) 権限制御の設計ミス ・「candidate」ロールユーザーが管理者と同等の権限でユーザー切り替え可能 ・本来制限されるべき機能へのアクセス制御が不適切 ・一般ユーザーから管理者権限への昇格が容易に実現 (4) 認証不要での攻撃実行 ・WordPressにログインしていない状態でも攻撃実行が可能 ・特定の方法でCookie情報を操作することで認証を迂回 ・サイト外部からの攻撃者でも管理者権限取得が可能 |
| 脆弱性の種類 | CWE-639 ユーザ制御の鍵による認証回避 |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を緊急で実施してください (1) プラグインの緊急対応 ・プラグインを削除もしくは無効化することを検討 (2) 被害確認 ・管理者アカウントの確認 - 身に覚えのない管理者アカウントが作成されていないかチェック - 既存管理者アカウントのパスワード変更を実施 - 最近のログイン履歴で不審なアクセスがないか確認 ・サイト内容の確認 - 予約データや顧客情報に異常な変更がないかチェック - 不審なページやコンテンツが追加されていないか確認 - プラグインやテーマの設定が勝手に変更されていないか確認 ・アクセスログの確認 - ユーザー切り替え機能への不審なアクセス - 「switch_user」「switch_back」パラメータを含むリクエスト - 通常と異なる時間帯での管理画面アクセス (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・セキュリティプラグインの導入:WordPressセキュリティプラグインの利用 ・完全バックアップの実施:被害発生時の復旧に備える ・管理者権限の見直し:必要最小限のユーザーのみに管理者権限を付与 ⇒サイトに異常な動作が見られる場合や、不審なアカウントが作成されている場合は、WordPressの専門家などへの相談をお勧めします。 |
| 影響を受けるバージョン | Service Finder Bookings 6.0 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-23970 / 2025/07/04 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 9.8 (深刻) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
本件の影響を受ける可能性がある場合は、順次メールにて個別にご案内しております。
WordPress プラグイン Xagio SEO 情報
| Software Version | WordPress 5.4.x ~ 6.8.x |
|---|---|
| sales | 6,154 |
| プラグイン ページ | Service Finder – Directory and Job Board WordPress Theme by aonetheme |
