WordPressとTelegramを連携し、フォーム送信内容やWooCommerce注文情報をTelegramアプリに通知する機能を提供するプラグイン「TelSender – Wp to telegram CF 7, Events, Wpforms, Ninja forms, Wooccommerce」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.14.14 までのすべてのバージョンです。
本脆弱性を悪用された場合、WordPress側でアカウントを持たない第三者が、管理者のブラウザ上で不正なスクリプトを実行させる可能性があります。
本脆弱性に対する対策版は現時点で提供されていないため、プラグインの使用停止を強く推奨します。
脆弱性詳細
本脆弱性は、プラグインの設定画面において、外部サービス(Telegram API)から取得したデータの安全性を十分に確認できていない状態にあったことに起因します。
具体的には、管理者が設定画面で接続テストを行う際、Telegram APIから取得したチャット名をブラウザに表示する処理において、特定の文字やコードを無害化する処理(エスケープ処理)が実装されていませんでした。
その結果、攻撃者がプラグインと連携しているTelegramチャットの名前に不正なJavaScriptコードを含めて設定しておくことで、管理者が設定画面で「Tested」ボタンをクリックした際に、そのコードが管理者のブラウザ上で実行される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(クロスサイトスクリプティング)
- 攻撃者がTelegramのチャット名に不正なスクリプトを含める形で設定する
- 管理者がプラグインの設定画面にアクセスし、「Tested」ボタンをクリックする
- 管理者のブラウザ上で攻撃者が用意した不正なスクリプトが実行される
これにより、管理画面への不正アクセスや意図しない操作が行われる可能性があります。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、以下のいずれかの方法で攻撃準備を行う
- プラグインが使用しているTelegramボットが参加しているチャットの名前を変更する
- ボットを攻撃者が管理するチャットに招待する
- 管理者がWordPressにログインした状態で、TelSenderプラグインの設定画面にアクセスする
- 管理者が画面上の「Tested」ボタンをクリックする
攻撃者はWordPressサイト側でアカウントを持つ必要がなく、Telegram側で攻撃準備を行うだけで済むため、攻撃の敷居が低い特徴があります。
技術的な詳細
本脆弱性は、JavaScriptのプログラムコード内で、外部API(Telegram API)から取得したレスポンスを処理する際、外部から取得したデータをそのまま信頼し、安全性の検証を行わずにHTML生成に使用していた点が原因です。
具体的には、外部から取得したデータをブラウザに表示する際に必要な、HTMLやJavaScriptとして解釈される特殊文字を無害な文字列に変換する処理(エスケープ処理)が実装されていませんでした。
さらに、生成されたHTML文字列を innerHTML というプロパティを使ってブラウザに挿入していたため、外部データに含まれるスクリプトがそのまま実行可能な状態となっていました。
このタイプの脆弱性は「DOM-Based XSS(Document Object Modelベースのクロスサイトスクリプティング)」と呼ばれ、サーバー側のデータベースには不正なコードが保存されず、ブラウザ上のJavaScript処理の段階で脆弱性が発現する特徴があります。
脆弱性の種類
推奨対応事項
本脆弱性に対する対策版は現時点で提供されていません。
該当プラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの使用停止
- 速やかに、TelSenderプラグインを無効化し、削除してください。
- Telegram連携が必要な場合は、代替プラグインへの移行を検討してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、
意図しない管理者権限を持つユーザーが存在しないか確認してください。 - 不審な権限変更が確認された場合は、該当ユーザーの修正または削除を行ってください。
- WordPress管理画面の「ユーザー」メニューより、
⇒不審なユーザーアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
TelSender – Wp to telegram CF 7, Events, Wpforms, Ninja forms, Wooccommerce 1.14.14 までのバージョン
脆弱性情報 (CVE-ID)
CVE情報は現時点で未割り当てです。
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) 
[Wordfence]
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
TelSender プラグインをご利用中のお客様には、
本脆弱性の詳細および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン TelSender – Wp to telegram CF 7, Events, Wpforms, Ninja forms, Wooccommerce 情報
| 最新版 バージョン | 1.14.15 |
|---|---|
| 対象 WordPress バージョン | 5.8 またはそれ以降 検証済み最新バージョン : 6.9 |
| 有効インストール数 | 5,000+ |
| 関連 ページ |
プラグインページ
|
