WordPress 向けプラグイン Secure Passkeys(パスワードレス認証/WebAuthn)に、認可(権限)チェックの不足が原因の不具合が見つかりました。影響を受けるのは 1.2.1 までの全バージョンで、ログイン済みの低権限ユーザー(Subscriber 以上)が、他ユーザーのパスキー情報を閲覧したり削除できてしまう可能性があります。脆弱性識別子は CVE-2025-10305 です。
何が起きるのか(事実関係)
問題の核は、プラグイン内部の delete_passkey() と passkeys_list() という処理に、必要な capability(権限)チェックが欠けていたことです。これにより、通常なら許可されない操作——他人のパスキーの一覧取得や削除——を、認証済みの購読者レベルでも実行できる余地が生まれていました。脆弱性の要約は各ベンダデータベースでも同様に記載されています。
技術的な原因(なぜ問題になるのか)
WordPress の権限モデルでは、ユーザーの操作可否を「ロールと capability」で厳密に制御します。
ところが該当バージョンでは、パスキーの閲覧・削除に入る前段で capability の検証が行われていませんでした。この「認可の欠落(CWE-862)」が、アクセス制御の破綻(Broken Access Control)を引き起こし、低権限ユーザーでも本来の境界を越えた操作ができてしまう点が問題です。
影響範囲と深刻度
影響は Secure Passkeys 1.2.1 までで報告されています。深刻度は各データベースで「中〜低」相当として評価されており、Wordfence の脆弱性一覧にも登録済みです。
致命的な認証回避というよりは他人のパスキー管理情報への不正アクセスが主眼で、サイト構成や運用によってはユーザーのパスキーが勝手に削除される等の実害に繋がり得ます。
クイックファクト(要点の整理)
| 項目 | 内容 |
|---|---|
| 識別子 | CVE-2025-10305 |
| 影響バージョン | Secure Passkeys ≤ 1.2.1 |
| 原因 | delete_passkey() / passkeys_list() における capability チェック欠如 |
| 想定される悪用 | 認証済み Subscriber 以上が、他ユーザーのパスキーを閲覧/削除 |
| 修正 | 1.2.2 で解消(最新への更新を推奨) |
| 参考 | NVD / Patchstack / Wordfence 脆弱性DB |
推奨される対応
まずは プラグインを 1.2.2 以降に更新してください。
これが最も確実で簡潔な対策です。
運用上は、ユーザーごとのパスキー管理履歴に不自然な削除や変更がないかを確認し、必要に応じて該当ユーザーに再登録の案内を行うのがよいでしょう。
サイトのロール設定や管理画面への到達経路を見直し、「最小権限の原則」を改めて徹底することも有効です。
まとめ:落ち着いて、定期更新で守る
今回のケースは、アクセス制御の実装ミスが原因で生じた、比較的限定的なリスクです。
WordPress のエコシステムには、脆弱性の報告・改修・公開通知までの仕組みが既に整っています。Secure Passkeys でも同様に問題は把握され、修正版が提供されています。
私たちサイト運営者にできる最も効果的な備えは、定期的なアップデートと、変更点の軽い監査を習慣化することです。これにより、WordPress を安全に、落ち着いて使い続けられます。
参考
・NVD(CVE-2025-10305)— 影響範囲・原因の要約。 (NVD)
・Patchstack データベース — 1.2.2 で修正の明記。 (Patchstack)
・Wordfence 脆弱性データベース — 脆弱性の登録状況。 (wordfence.com)
コメントを残す