WordPressでGoogle、Facebook等のOAuth認証を提供するプラグイン「OAuth Single Sign On – SSO (OAuth Client)」のバージョン 6.26.12 以下のすべてのバージョンで、深刻なセキュリティ脆弱性が発見されました。
この脆弱性により、攻撃者が認証トークン(JWT)の署名検証が不十分な点を悪用し、サイトの既存ユーザーアカウントに不正にログインしたり、新たに購読者レベルのアカウントを作成できる状態となっています。対策バージョン 6.26.13 以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・既存アカウントへの不正アクセス - 攻撃者が他のユーザーになりすましてログイン可能 - 一般ユーザーのアカウント情報や投稿内容にアクセスされる - 特定の構成下では、管理者アカウントも対象となる可能性 ・不正アカウントの作成 - サイトに登録済みの低権限ユーザー(購読者レベル以上)アカウントを勝手に作成される - 作成されたアカウントを使ってスパム投稿やコメントが行われる - サイトのユーザー管理が混乱する ・サイト運営への影響 - なりすましによる誤った情報の投稿 - 会員制サイトのコンテンツへの不正アクセス - 有料コンテンツの無断利用 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) 認証トークン(JWT)の署名検証処理の欠落 ・認証で使用されるJWTトークンは、通常「ヘッダー.ペイロード.署名」の3部分で構成 ・修正前は、このうち「ペイロード(ユーザー情報)」部分のみを取り出して使用 ・「署名」部分による改ざん検証なし ・そのため、偽造トークンでも受け入れてしまう状態 (2) 外部から直接トークンを受け取る処理の存在 ・修正前は、リクエストパラメータから直接トークンを受け取る処理が存在 ・OAuthプロバイダー(Google、Facebook等)以外の外部任意のトークンの注入可能 ・これにより、攻撃者は正規の認証フローを経由せずに、偽造トークンを送り込むことが可能 (3) 不十分な状態管理(stateパラメータ) ・CSRF攻撃を防ぐため「stateパラメータ」で認証要求の正当性を確認 ・修正前は、このstateパラメータが単純であり、容易に予測可能 ・容易な検証のため、攻撃者が認証フローを悪用できる状態 |
| 脆弱性の種類 | CWE-347 デジタル署名の不適切な検証 |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの更新 ・プラグインを対策バージョン(6.26.13以降)に早急に更新してください (2) 被害確認 ・ユーザーアカウントの確認 - 身に覚えのないアカウントが作成されていないか確認 - 不審な登録日時や名前のものがないかチェック(特に購読者アカウント) - 既存ユーザーのプロフィール情報に不審な変更がないか確認 ・アクセスログの確認 - OAuth認証エンドポイントへの不審なアクセスがないか確認 - 短時間で複数のアカウントからログインがあった形跡がないかチェック - 通常とは異なる時間帯や場所からのアクセスがないか確認 ・サイトコンテンツの確認 - 不審な投稿やコメントが追加されていないか確認 - 会員限定コンテンツへの不正なアクセス痕跡がないか確認 (3) 追加のセキュリティ対策 ・プラグイン管理の見直し - すべてのプラグインを最新版に更新 - 使用していないプラグインは無効化・削除 - 信頼できる開発元のプラグインのみを使用 ・ユーザー管理の強化 - 不要なユーザーアカウントの削除 - ユーザー登録設定の見直し - 二要素認証の導入検討 ・監視とバックアップ - セキュリティプラグインによる監視の実施 - 定期的なサイトバックアップの実施 - アクティビティログの定期確認 ⇒不審なアカウントや活動が見られる場合は、WordPressの専門家やセキュリティ専門家への相談をお勧めします。 |
| 影響を受けるバージョン | OAuth Single Sign On – SSO (OAuth Client) 6.26.12 までのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-9485 / 2025/10/04 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 9.8 (深刻) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
OAuth Single Sign On – SSO (OAuth Client) プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン OAuth Single Sign On – SSO (OAuth Client) 情報
| 最新版 バージョン | 6.26.14 |
|---|---|
| 対象 WordPress バージョン | 3.01 またはそれ以降 検証済み最新バージョン : 6.8.3 |
| 有効インストール数 | 7,000+ |
| プラグイン ページ | OAuth シングルサインオン – SSO (OAuth クライアント) – WordPress プラグイン | WordPress.org 日本語 |
