WordPressでフォーム作成機能を提供するプラグイン「SureForms – Drag and Drop Form Builder for WordPress」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.2.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、Stripe決済フォームの支払い金額が任意の値に改ざんされる可能性があります。
対策として、バージョン 2.2.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、Stripe決済の処理において、フォームから送信された支払い金額をサーバー側で検証せず、そのまま決済処理に使用していたことに起因します。
本来は、サイト管理者がフォームに設定した金額と、実際に送信された金額が一致しているかをサーバー側で照合する必要がありましたが、この検証が行われていない状態でした。
そのため、攻撃者が送信データの金額部分を書き換えることで、本来の設定金額とは異なる金額でStripeの決済処理が作成される可能性がありました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
決済金額の改ざんに関する影響
- Stripe決済フォームに設定された正規の金額ではなく、攻撃者が指定した任意の金額で決済が成立する可能性
これにより、商品やサービスが本来の価格とは異なる金額で購入される可能性があります。
被害発生の条件
- 攻撃者がサイトの決済フォームにアクセスできる状態であれば、ログインや特別な権限なしに攻撃が可能
- 管理者やユーザーの操作は不要であり、攻撃者が単独で実行可能
技術的な詳細
本脆弱性は、Stripeの決済処理を開始する関数(一回払い用・定期課金用の2箇所)において、ブラウザからサーバーに送信される決済データの金額を、フォームの設定値と照合せずにそのままStripe APIへ渡していた点が原因です。
修正前は、金額が0以下でないかという最低限のチェックのみが行われており、フォームに設定された正規の金額や通貨との一致確認は実装されていませんでした。
また、Stripeで個々の決済を管理するためのデータ(Payment Intent)が当該プラグインを通じて作成されたものであるかを確認する仕組みも存在しなかったため、外部から不正な決済情報を注入される可能性もありました。
修正版(2.2.2)では、フォーム設定に登録された金額・通貨とのサーバーサイド照合、決済処理がプラグイン内で作成されたものであることの検証、および検証済み決済情報の再利用防止が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.2.2 以降)へ更新してください。
- 決済履歴の確認
- Stripeの管理画面(ダッシュボード)にて、決済履歴を確認してください。
フォームに設定した金額と一致しない決済(特に極端に低額な決済)が存在しないかを確認してください。 - 不審な決済が確認された場合は、Stripeの管理画面から該当の決済内容を確認し、必要に応じて返金・取り消しなどの対応を行ってください。
- Stripeの管理画面(ダッシュボード)にて、決済履歴を確認してください。
- サブスクリプションの確認
- 定期課金機能を利用している場合、Stripe管理画面のサブスクリプション一覧で、設定金額と異なる金額の定期課金が作成されていないか確認してください。
- 不審なサブスクリプションが見つかった場合は、キャンセルの上、影響範囲を確認してください。
⇒不審な決済が確認された場合は、Stripe社のサポートおよび決済に詳しい専門家への相談を推奨します。
影響を受けるバージョン
SureForms – Drag and Drop Form Builder for WordPress 2.2.1 までのバージョン
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) 
[Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
SureForms プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
