WordPressテーマにバンドルされたRealHomes CRMプラグインのセキュリティ欠陥が、30,000以上のウェブサイトにインストールされた状態で修正されました。研究者により、低権限ユーザーが悪意あるファイルをアップロードし、影響を受けたサイトを制御することが可能になる可能性があることが判明しました。
この脆弱性はRealHomes CRMバージョン1.0.0以前に影響し、購読者レベルのアクセス以上を持つログイン済みユーザーなら誰でも、CSVインポート機能を通じて任意のファイルをアップロードできました。悪用された場合、サーバーに悪意あるコードを配置し、最終的にはサイト全体の制御につながる可能性があります。
RealHomes CRMはInspiryThemesが開発したRealHomes WordPressテーマに含まれています。このテーマは不動産ウェブサイトの構築に広く使用されています。高度なプロパティ検索、複数のリスティングレイアウト、フロントエンドの送信と管理、PayPalとStripe経由の支払い統合、Elementorなどのページビルダーのサポートなどのツールを提供しています。
この欠陥にはCVE-2025-67968が割り当てられ、Patchstack Allianceコミュニティメンバーのwackydawgにより発見および報告されました。これはCSVファイルアップロードの処理を担当するAJAX関数に位置していました。
この関数はリクエスト検証にnonceを使用していましたが、そのnonceは購読者ユーザーがadminページとフロントエンドページの両方から取得できました。
WordPressプラグインセキュリティの詳細:重大なWordPressプラグインバグが大量に悪用される
アップロードメカニズムがリスクが高かった理由
さらに詳細な分析により、アップロードプロセスが複数の基本的なセキュリティ制御に欠けていることが明らかになりました。特に、ユーザーがそのアクションを実行するのに十分な権限を持っているかどうかを確認するチェックがなく、ファイルがサーバーに書き込まれる前にファイルタイプまたは拡張子の検証がありませんでした。
主な問題は以下の通りです:
-
特権ユーザーへのアクセスを制限するための権限チェックの欠落
-
CSVファイルのみではなく任意のファイルアップロードの受け入れ
-
追加の検証なしのファイルアップロード関数の直接使用
これに対応して、開発者はRealHomes CRMバージョン1.0.1をリリースしました。これは、許可されたユーザーのみがアップロード機能にアクセスできるようにするために、current_user_can機能チェックを導入しています。パッチはまた、WordPressのwp_check_filetype関数を使用してファイルタイプと拡張子の検証を追加しています。
このディスクロージャーは、nonceだけが適切なアクセス制御の代わりにはならないことを思い出させてくれます。WordPressドキュメントに記載されているように、「nonceは認証、承認、またはアクセス制御に依存すべきではありません。」
RealHomes CRMユーザーは、エクスポージャーを減らすために最新バージョンに更新することをお勧めします。
翻訳元: https://www.infosecurity-magazine.com/news/realhomes-crm-plugin-flaw/
