【Plugin】『Simple Author Box』(versions 2.52 未満) Insecure Direct Object References (IDOR)の脆弱性

WordPressのプラグインであるSimple Author Boxには、CVE-2023-3601という脆弱性が存在します。
この脆弱性は、Insecure Direct Object References(IDOR)と呼ばれるタイプの脆弱性です。

Simple Author Boxは、ウェブサイトの投稿やページに著者の情報を表示するためのプラグインです。
しかし、このプラグインのバージョン2.52以前では、著者の情報が不正にアクセスされる可能性があります。

具体的には、IDORとは、直接オブジェクト参照とも呼ばれ、ユーザーがアクセス権限を持たないはずの情報にアクセスできる脆弱性のことを指します。
Simple Author Boxの脆弱性では、認証されていないユーザーが著者の情報にアクセスできる可能性があります。

この脆弱性は、攻撃者が特定のURLを直接操作することで、著者の情報を取得できるというものです。
例えば、攻撃者がURLのパラメータを変更することで、他のユーザーの著者情報を表示させることができます。

幸いなことに、Simple Author Boxの開発者はこの脆弱性に対応し、修正されたバージョン2.52をリリースしました。
したがって、ユーザーは最新バージョンにアップデートすることで、この脆弱性から保護されることができます。

WordPressのプラグインを使用する際には、定期的なアップデートとセキュリティの確認が重要です。
脆弱性が発見された場合は、開発者が迅速に対応することが求められます。
また、ユーザー自身も最新のバージョンにアップデートすることで、セキュリティリスクを最小限に抑えることができます。

脆弱性情報を受け取る