WordPressの人気プラグイン「Really Simple SSL」(無料版、Pro版、Pro Multisite版)のバージョン9.0.0から9.1.1.1に、極めて深刻なセキュリティ脆弱性が発見されました。
想定される被害 | この脆弱性により、以下のような深刻な被害が想定されます ・管理者アカウントへの不正アクセス ・WordPressサイトの完全な制御権限の奪取 ・コンテンツの改ざんやマルウェアの埋め込み ・個人情報や機密情報の流出 ・バックアップの削除やサイト設定の改ざん |
技術的な詳細 | この脆弱性は、2要素認証のREST APIにおける認証チェックの不備によるものです。本来の認証プロセスをバイパスして、攻撃者が任意のユーザーとして認証を確立できてしまいます。 |
脆弱性の種類 | CWE-228 代替パスまたはチャネルを使用した認証回避 |
重要な推奨事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) 緊急の対策 プラグインを最新バージョン(9.1.2以降)に直ちに更新 2FA機能を使用している場合、全ユーザーのパスワードを変更 (2) 被害確認 管理者アカウントの活動ログを確認 不審な投稿や設定変更がないかチェック プラグインやテーマの追加・変更を確認 (3) 追加のセキュリティ対策 ログイン試行の制限を設定 管理者アカウントの2段階認証を再設定 ファイアウォールの設定を見直し ⇒不審な動作や変更が見つかった場合や、より詳細な調査が必要と判断される場合は、専門家へのご相談をお勧めします。 |
影響を受けるバージョン | 「Really Simple SSL」(無料版、Pro版、Pro Multisite版) バージョン 9.0.0(2024/9/16) ~ (2024/11/5 リリース) |
脆弱性情報 (CVE-ID / 公開日) | CVE-2024-10924 / RESERVED (2024/11/15時点) |
脆弱性の深刻度 (CVSS v3) | 基本値: 9.8 (深刻) [Wordfence] |
「Really Simple SSL」(無料版、Pro版、Pro Multisite版) プラグインをご利用のお客様へは、「対策バージョンへの更新状況と点検実施推奨」の旨のメールを順次ご案内しております。
WordPress プラグイン Really Simple Security – Simple and Performant Security 情報 (2024年11月15日 11時点)
最新版 バージョン | 9.1.2 (2024/11/11 リリース) |
対象 WordPress バージョン | 5.9 またはそれ以降 検証済み最新バージョン : 6.7 |
有効インストール数 | 400万以上 |
プラグイン ページ | Really Simple Security – Simple and Performant Security (formerly Really Simple SSL) – WordPress プラグイン | WordPress.org 日本語 |
開発者 ページ | Home – Really Simple Plugins |