WordPressプラグインの脆弱性情報を解説: CSRF脆弱性への対策を実例から解説

本記事ではWordPressプラグインに発生したCSRF脆弱性と実際に対応した方法からセキュリティへの知識を向上させる目的の記事となります。

はじめに

WordPressのWP Abstractsプラグインの 2.7.2 までにCSRF脆弱性が発見されました。 (CVE-2024-12385)

この問題では、例えばWordPressにログイン済みの管理者が別サイトを表示することで設置されたJavaScriptコードを実行し、情報を削除したり意図していない変更が実行できる可能性があります。

幸いにも対象コードではPOSTリクエストによってデータを取得するだけの箇所だったため、あまり問題にはならない脆弱性ではありましたが、POSTリクエストなど一般的に情報変更をするリクエストでは常時CSRF対策を行う処理を追加するのが安全なシステムを作ることにつながります。

WP Abstractsの仕様と脆弱性

WP Abstractsは、会議や学術イベントなどで常用される、抽説提出とレビュー管理を支援するためのプラグインです。

例えば、学会の抽説提出、トピック別の事例管理、やり取りができる環境を提供し、フロントエンドの用途にも適しています。

今回取り上げる脆弱性によって、プラグイン内の一部の関数にnonceキーの正当化が不足しており、これが脆弱性の原因となっていました。

脆弱性の詳細

• 脆弱性ID: CVE-2024-12385
• 影響を受けるバージョン: WP Abstracts 2.7.2 まで
• 問題となった関数: wpabstracts_load_status(), wpabstracts_delete_abstracts()
• 対応方法: 最新バージョン 2.7.3以降へのアップデート

nonceキーとCSRF保護の解説

ここからは脆弱性への対応方法について解説していきます。

CSRF（Cross-Site Request Forgery、クロスサイトリクエストフォージェリ）は、攻撃者がユーザーの認証済みブラウザでの情報を利用して、不正なリクエストを実行させる攻撃手法です。これにより、認証済みのユーザーが意図しない操作（例: データ削除や設定変更）を実行してしまう可能性があります。

この攻撃は、被害者が攻撃者の用意した悪意のあるリンクをクリックしたり、スクリプトを実行させられることで成立します。CSRFを防ぐために、WordPressではnonceキーを利用した保護が推奨されています。

WordPressのnonceキーは、一回限りの一意の値を生成することでCSRF攻撃を防ぐためのメカニズムです。

CSRFへの対応は意図しない更新処理のリクエストが模倣できないように、認証トークンを活用して決められたフォームからしかリクエストを実行できないようにする方法です。

WordPressではその認証トークンをnonceと表現して認証しやすい関数が用意されています。

これはワンタイムトークンの一種であり、有効期限は標準で2時間経過すると無効になります。これにより、時間と関連づけてセキュリティが高まります。

nonceキーを使用する別の基本的な流れ

一般的なCSRF対策をするための認証トークン(nonce)を設定するのは以下になります。

1. nonceキーの生成 (wp_create_nonce($action))
   • このステップで特定のアクションに関連付けた一意のキーを作成します。
2. 更新フォームに追加
   • 生成されたnonceキーをフォームまたはURLに埋め込みます。
3. nonceキーの検証 (wp_verify_nonce($nonce, $action))
   • サーバー側で、受信したnonceキーが正しいかを検証します。これにより、不正なリクエストをブロックします。

図解例:

ユーザーリクエスト --> (サーバーでnonceキーを生成) --> フォーム送信 --> (サーバー側でnonceキー検証) --> 正常処理またはリクエストのブロック

新たに追加された関数

WP Abstractsプラグインで発生した今回の脆弱性に対応するため、下記の関数が追加されました。

function wpabstracts_verify_nonce($nonce) {
    if (!isset($nonce) || !wp_verify_nonce($nonce, WPABSTRACTS_SECRET_KEY)) {
        return false;
    }
    return true;
}

この関数は、nonceが有効であるかどうかを検証し、CSRF攻撃を防げるために使用されます。

追加された関数: https://plugins.trac.wordpress.org/changeset/3223874/wp-abstracts-manuscripts-manager/trunk/inc/wpabstracts_functions.php#L1328

使用されている箇所: https://plugins.trac.wordpress.org/changeset/3223874/wp-abstracts-manuscripts-manager/trunk/wpabstracts.php

今回の脆弱性の教訓

この事例から得られる教訓として、以下の点が挙げられます

1. セキュリティ意識の向上:
   • プラグインやテーマの利用において、定期的なアップデートと脆弱性情報のチェックが重要です。
   • プラグイン開発やテーマ制作をする際、nonceキーやその他のセキュリティ対策を導入することで、システム全体の堅牢性を向上させられます。
2. 開発プロセスの向上:
   • サードパーティ製品に依存する場合でも、コードレビューやセキュリティテストを行うことで脆弱性を事前に発見できます。
3. ユーザー教育の必要性:
   • システムを作成する開発者に対して、セキュリティリスクや安全な操作方法を教育することが不可欠です。

参考リンク

これらの情報は、WP Abstractsプラグインの脆弱性について詳細を理解するために役立ちます。また、記事全体の信頼性を高めるための根拠としても活用してください。

1. Wordfence 資料
2. CVE-2024-12385
3. WP Abstracts公式ページ