脆弱性の概要

• プラグイン/テーマ名: Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)
• 影響バージョン: 4.4.4 以下
• 脆弱性タイプ: Authenticated (Author+) Stored Cross-Site Scripting via SVG File Upload
• CVE ID: CVE-2024-9165
• 重大度: 中
• 公式ページURL: https://wordpress.org/plugins/gift-voucher/

脆弱性の解説

今回お伝えするのは、WordPressプラグイン「Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)」における脆弱性についてです。

この脆弱性は、認証されたユーザーがSVGファイルをアップロードする際に、悪意のあるスクリプトを埋め込むことができるというものです。

具体的には、プラグインのバージョン4.4.4以下において、SVGファイルのアップロード機能が適切にサニタイズされていないため、攻撃者がクロスサイトスクリプティング（XSS）攻撃を仕掛けることが可能です。

この攻撃により、攻撃者は他のユーザーのブラウザ上で任意のスクリプトを実行し、情報を盗む、セッションを乗っ取る、または他の悪意のある行動を取ることができます。

脆弱性の背景

この脆弱性は、SVGファイルの特性を利用したものです。

SVGはXMLベースのベクター画像フォーマットであり、スクリプトを埋め込むことが可能です。

過去にもSVGファイルを利用したXSS攻撃は報告されており、特にファイルのアップロード機能を持つウェブアプリケーションでは注意が必要です。

このような脆弱性は、ユーザーの信頼を損ない、ウェブサイトのセキュリティを脅かすため、迅速な対応が求められます。

対策方法と影響

この脆弱性に対する具体的な対策としては、プラグインの開発者が提供する修正済みバージョンがリリースされるまで、SVGファイルのアップロードを無効にすることが推奨されます。

また、ウェブアプリケーションファイアウォール（WAF）を使用して、悪意のあるリクエストをブロックすることも有効です。

これらの対策を行わない場合、攻撃者によるXSS攻撃のリスクが高まり、ユーザーの個人情報が漏洩する可能性があります。

専門用語の解説

• SVG: Scalable Vector Graphicsの略で、XMLベースのベクター画像フォーマットです。
• クロスサイトスクリプティング（XSS）: ウェブアプリケーションの脆弱性を利用して、悪意のあるスクリプトを他のユーザーのブラウザで実行させる攻撃手法です。
• サニタイズ: データを安全に処理するために、不正な入力を除去または無害化することです。
• ウェブアプリケーションファイアウォール（WAF）: ウェブアプリケーションへの攻撃を検知し、防御するためのセキュリティシステムです。

情報元