CRITICALCVE-2024-9518CVSS 9.8

UserPlus <= 2.0 - 認証されていない権限昇格

Q: CVE-2024-9518 — 特権昇格 in UserPlus WordPressプラグインとは何ですか？

CVE-2024-9518は、UserPlus WordPressプラグインのバージョン2.0以前に存在する、認証されていない攻撃者がユーザーロールを自由に設定できる脆弱性です。

Q: CVE-2024-9518 in UserPlus WordPressプラグインの影響はありますか？

はい、バージョン2.0以前を使用している場合、攻撃者は不正なユーザーロールを取得し、サイトを乗っ取ることが可能です。

Q: CVE-2024-9518 in UserPlus WordPressプラグインを修正するにはどうすればよいですか？

UserPlusプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、プラグインを無効化することを推奨します。

Q: CVE-2024-9518は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、脆弱性の重大度から、早期に悪用される可能性が懸念されます。

Q: CVE-2024-9518に関するUserPlusの公式アドバイザリはどこで入手できますか？

UserPlusの公式ウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。

プラットフォーム

wordpress

コンポーネント

userplus

修正版

2.0.1

AI Confidence: highNVDEPSS 1.0%レビュー済み: 2026年5月

NVDで見る

保存

UserPlus WordPressプラグインのバージョン2.0以前には、特権昇格の脆弱性が存在します。この脆弱性は、認証されていない攻撃者が登録時に'role'パラメータを操作することで、意図しないユーザーロールを割り当てられることを可能にします。影響を受けるバージョンは2.0以前です。開発者は最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証なしでWordPressサイトに登録し、管理者権限を含む任意のユーザーロールを付与される可能性があります。これにより、データベースへのアクセス、機密情報の窃取、サイトの完全な制御など、深刻な被害をもたらす可能性があります。攻撃者は、不正なコンテンツを公開したり、他のユーザーアカウントを乗っ取ったりすることも可能です。WordPressサイトのセキュリティを著しく損なう重大なリスクです。

悪用の状況

この脆弱性は、2024年10月10日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度から、早期に悪用される可能性が懸念されます。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、WordPressサイトを乗っ取り、機密情報を窃取する可能性があります。

リスク対象者翻訳中…

WordPress websites using the UserPlus plugin, particularly those with user registration enabled, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to lateral movement to others. Sites with legacy UserPlus configurations or those that haven't regularly updated their plugins are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'form_actions' /var/www/html/wp-content/plugins/userplus/

• wordpress / composer / npm:

grep -r 'userplus_update_user_profile' /var/www/html/wp-content/plugins/userplus/

• wordpress / composer / npm:

wp plugin list --status=active | grep userplus

• wordpress / composer / npm:

wp plugin update userplus

攻撃タイムライン

2024-10-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.95% (76% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントuserplus

ベンダーuserplus

影響範囲修正版

* – 2.02.0.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-10-04
公開日2024-10-10
EPSS 更新日2026-04-02

未パッチ — 公開から591日経過

緩和策と回避策

この脆弱性への最も効果的な対策は、UserPlusプラグインを最新バージョンにアップデートすることです。アップデートがすぐに利用できない場合、プラグインの無効化を検討してください。また、WordPressのセキュリティプラグインを使用して、不正なユーザー登録を監視し、異常なアクティビティを検出することも有効です。WAF（Web Application Firewall）を導入し、不正なパラメータの送信をブロックすることも有効な対策となります。

修正方法

UserPlusプラグインを最新バージョンにアップデートしてください。このアップデートは、登録時に認証されていないユーザーがユーザーロールを割り当てることができる権限昇格の脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-9518 — 特権昇格 in UserPlus WordPressプラグインとは何ですか？

CVE-2024-9518は、UserPlus WordPressプラグインのバージョン2.0以前に存在する、認証されていない攻撃者がユーザーロールを自由に設定できる脆弱性です。

CVE-2024-9518 in UserPlus WordPressプラグインの影響はありますか？

はい、バージョン2.0以前を使用している場合、攻撃者は不正なユーザーロールを取得し、サイトを乗っ取ることが可能です。

CVE-2024-9518 in UserPlus WordPressプラグインを修正するにはどうすればよいですか？

UserPlusプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、プラグインを無効化することを推奨します。

CVE-2024-9518は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、脆弱性の重大度から、早期に悪用される可能性が懸念されます。

CVE-2024-9518に関するUserPlusの公式アドバイザリはどこで入手できますか？

UserPlusの公式ウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。

UserPlus <= 2.0 - 認証されていない権限昇格

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2024-9518 — 特権昇格 in UserPlus WordPressプラグインとは何ですか？

CVE-2024-9518 in UserPlus WordPressプラグインの影響はありますか？

CVE-2024-9518 in UserPlus WordPressプラグインを修正するにはどうすればよいですか？

CVE-2024-9518は積極的に悪用されていますか？

CVE-2024-9518に関するUserPlusの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認