Motors WordPressテーマに、最小限の権限しか持たないログインユーザーでも、影響を受けるWebサイトを完全に制御できる可能性があるセキュリティ上の欠陥があることが公表されました。
この問題は任意ファイルアップロードの脆弱性に関するもので、購読者(Subscriber)およびそれ以上の権限を持つユーザーがプラグインをインストールして有効化できてしまい、悪意あるコード実行につながる可能性があります。
Motorsテーマは、自動車関連サイト向けに広く利用されているWordPressソリューションで、カーディーラー、車両レンタルプラットフォーム、クラシファイド(分類広告)掲載サイトなどで使われています。
StylemixThemesが開発しており、現在2万件を超えるアクティブインストールがあります。
この脆弱性はバージョン5.6.81以下に影響し、CVE-2025-64374が割り当てられています。
この欠陥はPatchstack AllianceコミュニティのメンバーであるDenver Jackson氏によって発見され、責任ある形で報告されました。バックエンド関数を通じてプラグインのインストールを可能にするAJAXハンドラーに存在します。この関数はリクエスト検証のためにnonceを使用しているものの、適切な権限チェックが欠けています。
nonce値はWordPress管理画面から購読者(Subscriber)レベルのユーザーでも取得できるため、ログインしている任意のユーザーが任意のプラグインURLを指定できます。これにより悪意あるプラグインがアップロードされて有効化され、最終的にサイトの完全な乗っ取りにつながります。
Patchstackは、これはWordPressコンポーネント全体で見られるより広範な問題を反映していると指摘しました。nonceはリクエスト偽造を防ぐためのものであり、アクセス制御を強制するものではありません。
「nonceは認証、認可、またはアクセス制御のために決して頼るべきではありません。current_user_can()を使用して関数を保護し、nonceは侵害され得るものだと常に想定してください」と、WordPressの開発者ドキュメントは助言しています。
WordPressテーマのセキュリティについてさらに読む: 重大なWordPressプラグインのバグが一斉に悪用される
この問題はMotorsバージョン5.6.82で修正され、current_user_canによる権限チェックが導入されました。これにより、認可されたユーザーのみがプラグインのインストールおよび有効化プロセスを実行できるようになります。このパッチは9月にベンダーへ開示された後、11月3日にリリースされました。
The アドバイザリは、本日PatchStackにより公開され、開発者およびサイト所有者に向けたいくつかの重要な教訓を強調しています:
-
nonceだけでは特権機能を保護するには不十分
-
サイトを変更するすべての操作で厳格な権限チェックを強制すべき
-
ログインユーザーはデフォルトで信頼できると決して想定すべきではない
Motorsテーマを使用しているサイト所有者には、リスクを軽減するためにバージョン5.6.82以降へ更新することが強く推奨されます。更新を適用しない場合、WordPressの脆弱性の中でも最も深刻な分類の一つに対してサイトが無防備なままとなります。
翻訳元: https://www.infosecurity-magazine.com/news/motors-wordpress-flaw-takeover/
