セキュリティ研究者が、Atarim WordPressプラグイン に存在する重大な認証バイパス脆弱性の概念実証(PoC)コードを公開しました。この脆弱性により、攻撃者が機密性の高いユーザーデータやシステム設定の詳細を窃取できる可能性があります。
CVE-2025-60188として追跡されているこの欠陥は、安全でないHMACベースの認証を使用しているプラグインのバージョンに影響します。
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-60188 |
| GHSA ID | GHSA-648j-fchv-3hrv |
| 脆弱性の種類 | HMAC偽造による認証バイパス |
脆弱性の詳細
この脆弱性は、Atarimプラグインが管理者リクエストを検証する方法における根本的な設計上の弱点に起因します。
このプラグインは、機密性の高いAJAXエンドポイントを保護するためにHMAC-SHA256署名を使用しています。しかし研究者は、これらの署名を生成するために用いられる秘密鍵が、サイトの訪問者であれば誰でも容易に入手できることを突き止めました。
「アプリケーションは、管理用AJAXアクションへのリクエストに署名するための秘密鍵として、予測可能または漏えいした内部ID(site_id)を使用しています」と、エクスプロイトを開発した研究者m4sh-wackerは説明しています。
このサイト識別子は公開REST APIエンドポイントを通じて露出しており、攻撃者が本来は秘密であるはずの値を取得するのは容易です。
攻撃者がsite_idを入手すると、ローカルで有効なリクエスト署名を計算し、保護された管理機能にアクセスできるようになります。
このエクスプロイトは、氏名、メールアドレス、ユーザーロールなどのユーザー個人識別情報(PII)を明示的に公開するエンドポイントに加え、ライセンスキーを含む可能性のあるシステム設定も標的にします。
この攻撃はユーザーの操作を必要とせず、未認証の訪問者であれば誰でも実行できます。
公開されているPython製エクスプロイトは、攻撃者が署名を偽造して数秒で機密データを抽出できることを示しており、この脆弱性が影響を受けるWebサイトにとって特に危険であることを物語っています。
Webサイト管理者は、Atarimプラグインを直ちに最新の修正済みバージョンへ更新すべきです。
プラグイン開発者には、WordPressのwp_salt()関数を用いた高エントロピーなシークレットの使用や、タイミング攻撃を防ぐための署名検証における定数時間比較など、適切なセキュリティ対策を実装することが推奨されます。
セキュリティチームは、WordPress環境にAtarimプラグインが導入されていないか監査し、動作するエクスプロイトコードが入手可能で悪用が容易であることを踏まえ、本件を高優先度のパッチ適用案件として扱うべきです。
翻訳元: https://gbhackers.com/poc-released-for-atarim-plugin-auth-bypass-vulnerability/
