WordPress OAuth SSOプラグインの脆弱性、未認証の攻撃者が管理者権限を取得可能に

WordPress向けプラグイン「miniOrange OAuth Single Sign-On(OAuth Client)」に存在する重大なセキュリティ脆弱性により、数千のウェブサイトが完全な乗っ取りの危険にさらされる可能性があります。

Patchstackは2026年7月9日にこの脆弱性を公表し、バージョン38.5.8以下のすべてのプラグインが影響を受けると警告しています。現時点で公式パッチは提供されていません。

この脆弱性は「認証不備(Broken Authentication)」に分類され、深刻度は最大値となるCVSSスコア9.8を記録しています。

Patchstackの研究者によると、このバグを悪用すれば未認証の攻撃者がログイン機構を完全にバイパスし、通常は権限を持つユーザーにのみ許可されている操作を実行できます。これには対象サイトの管理者権限を完全に取得することも含まれます。

この種の脆弱性が特に危険なのは、有効な認証情報もソーシャルエンジニアリングもユーザー操作も一切必要としない点にあります。

攻撃者は脆弱なインストール環境を特定し、SSO認証フローに対して細工したリクエストを送信するだけで、直接管理者レベルまで権限を昇格させることができます。

miniOrange OAuth Clientプラグインは、Google、Microsoft、その他のOAuth/OIDCアイデンティティサービスとのシングルサインオン連携を実現するために広く利用されています。

企業向けWordPressサイトを中心に幅広く導入されていることから、この脆弱性は大規模な悪用キャンペーンの標的として特に狙われやすい状況にあります。

Patchstackはこの脆弱性について「悪用される可能性が高い」と明確に警告しています。この深刻度のバグは通常、トラフィック量やサイトの知名度に関係なく無差別にウェブサイトを狙う自動化攻撃キャンペーンで武器化される傾向があると指摘しています。

攻撃者が一度管理者権限を取得すると、悪意あるプラグインのインストール、バックドアの埋め込み、データの窃取、あるいはホスティングインフラへの侵入拡大などが可能になります。公式な修正がまだ存在しないため、ベンダーは自社セキュリティプラットフォームの利用者向けに、仮想パッチ(自動化された緩和ルール)を展開しています。

Patchstackの指摘によれば、技術的に異例な制約があるといいます。「この脆弱性の特殊な性質上、あらゆるシナリオに対応するため、正規・非正規を問わずすべてのリクエストをブロックしています」とのことです。

これは、攻撃経路を完全に遮断する代償として、この緩和ルールが通常のSSOログイン機能を一時的に阻害する可能性があることを示唆しています。

影響を受けるプラグインを使用しているサイト管理者は、直ちに以下の対応を取る必要があります。

WordPress上でOAuthベースのSSOを利用している組織は、直ちに対策を最優先で講じるべきです。対応が遅れるほど、自動化攻撃による侵害のリスクは大幅に高まります。

翻訳元: https://cyberpress.org/wordpress-oauth-sso-plugin-flaw/

ソース: cyberpress.org