WordPressで予約管理を行うプラグイン「LatePoint」のバージョン 5.1.94 以下のすべてのバージョンで、複数のセキュリティ脆弱性が発見されました。
この脆弱性により、(1)ログインしていない攻撃者が任意の顧客アカウントにログインできる可能性、(2)悪意のあるリンクを踏ませることでログイン中の顧客のパスワードを変更できる可能性があります。いずれも顧客アカウントの乗っ取りにつながる重大な脆弱性です。対策バージョン 5.2.0 以降への更新を推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます。 ・顧客アカウントの乗っ取り - 攻撃者が特定の顧客のメールアドレスを知っている場合、その顧客としてログイン可能 - ログイン中の顧客が悪意のあるリンクをクリックすると、パスワードが攻撃者の指定したものに変更される - WordPress管理者アカウントも影響を受ける可能性 ・予約情報・個人情報への不正アクセス - 乗っ取られたアカウントを通じて、過去の予約履歴や個人情報が閲覧される - 顧客の氏名、メールアドレス、電話番号、予約内容などが漏洩する可能性 - 決済情報や予約履歴が不正に変更される可能性 ・予約システムの不正利用 - 他人のアカウントで勝手に予約のキャンセルや変更が行われる - 不正な予約が作成される - サービス提供者と顧客の双方に混乱が生じる |
|---|---|
| 技術的な詳細 | この脆弱性は、以下2つの問題に起因します。 (1) 認証バイパスによるアカウント乗っ取り 問題点: ・予約プロセスのステップ処理において、顧客情報の検証が不十分 ・リクエストパラメータで指定された顧客メールアドレスをそのまま使用 ・ログイン状態や権限の確認なしに、内部のログイン処理が実行される ・AJAX nonceトークンによる正当性検証が行われていない 修正内容: ・顧客情報をリクエストパラメータから直接取得する代わりに、セッションから認証済み顧客情報を取得するように変更 ・顧客オブジェクトと顧客IDの取得に専用のメソッドを使用 ・これにより、認証されていないユーザーが他人のアカウントとして処理を進めることができなくなった (2) CSRFによるパスワード変更の脆弱性 問題点: ・パスワード変更処理でnonceトークンの検証が実装されていない ・ログイン中の顧客が悪意のあるサイトのリンクをクリックすると、攻撃者が用意したフォームが自動送信される ・本人の意図しないパスワード変更が実行されてしまう 修正内容: ・パスワード変更時にnonceトークンの検証を追加 ・パスワードの空白チェックを追加 ・パラメータで顧客IDを指定できた初期パスワード設定機能も、セッションベースの認証に変更 追加で修正された関連問題: ・顧客情報更新処理でも、パラメータで顧客IDを指定できる実装になっていた ・これにより他の顧客の個人情報を改ざんできる可能性があった ・セッションから認証済み顧客のみを取得し、nonceチェックを追加することで修正 |
| 脆弱性の種類 | CWE-288 代替パスまたはチャネルを使用した認証回避 CWE-79 クロスサイトスクリプティング |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。 (1) プラグインの更新 ・プラグインを対策バージョン(5.2.0以降)に更新 (2) 被害確認 ・顧客アカウントの確認 - 顧客から身に覚えのないログインや予約変更の報告がないか確認 - 予約履歴に不審な予約やキャンセルがないかチェック - 顧客情報に不自然な変更履歴がないか確認 ・アクセスログの確認 - 予約システムへの不審なアクセスの有無 - 短時間に同一IPアドレスから複数アカウントへのアクセス - 通常と異なる国や地域からのアクセス ・パスワード変更履歴の確認 - 身に覚えのないパスワード変更が記録されていないか (3) 追加のセキュリティ対策 ・定期的なプラグイン更新: すべてのプラグインを最新版に保つ ・セキュリティプラグインの導入: WordPressセキュリティプラグインの利用 ・バックアップの実施: 定期的なサイトバックアップ ・顧客への注意喚起: パスワードの変更を推奨(特に不審なアクセスが確認された場合) ・二要素認証の検討: 可能であれば顧客ログインに二要素認証を導入 ⇒ サイトに不審なアクセスや予約が見られる場合、または顧客から被害報告があった場合は、WordPressのセキュリティ専門家への相談をお勧めします。 |
| 影響を受けるバージョン | LatePoint 5.1.94 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-7038 / 2025/09/30 CVE-2025-7052 / 2025/09/30 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.2 (重大) [Wordfence] 基本値: 8.8 (重大) [Wordfence] |
参考
LatePoint <= 5.1.94 – Unauthenticated Authentication Bypass via load_step Function
LatePoint <= 5.1.94 – Cross-Site Request Forgery to Account Takeover via change_password() Function
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
LatePoint プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン LatePoint 情報
| 最新版 バージョン | 5.2.3 |
|---|---|
| 対象 WordPress バージョン | 6.5 またはそれ以降 検証済み最新バージョン : 6.8.3 |
| 有効インストール数 | 100,000+ |
| プラグイン ページ | LatePoint – Calendar Booking Plugin for Appointments and Events – WordPress プラグイン | WordPress.org 日本語 |
