WordPressのセキュリティ対策プラグイン「Malcure Malware Scanner & Security Hardening」のバージョン 16.8 以下のすべてのバージョンで、重大なセキュリティ脆弱性が発見されました。
この脆弱性により、ログイン済みの攻撃者(購読者権限以上)がサーバー上の任意のファイルを削除することが可能となっています。削除されるファイルによっては、Webサイトの停止やサーバー全体への深刻な影響が生じる可能性があります。
なお、このプラグインは2025年7月15日に公開が停止されており、現在新規ダウンロードはできない状態のため、ご利用を中止されることをお勧めします。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・Webサイトの完全停止 - WordPress設定ファイル(wp-config.php)の削除によるサイト機能停止 - データベース接続情報の消失 - .htaccessファイル削除による表示エラーやセキュリティ設定の無効化 ・サーバー全体への影響 - システム重要ファイル(/etc/passwd等)の削除によるサーバー機能停止 - SSL証明書ファイルの削除による暗号化通信の無効化 - 他のWebサイトやアプリケーションの設定ファイル削除 ・データ損失・復旧困難 - バックアップファイルの意図的削除による復旧手段の消失 - ログファイルの削除による攻撃痕跡の隠蔽 - 重要な業務データやドキュメントファイルの永続的削除 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) ファイルパス検証の不備 ・ファイル削除機能(wpmr_delete_file関数)でユーザー入力の検証が不適切 ・base64エンコードされたファイルパスを直接デコードして使用 ・「../../../etc/passwd」のようなパストラバーサル攻撃に対する防御が不十分 (2) 削除可能範囲の制限不足 ・WordPressディレクトリ外のファイルも削除対象として判定される仕組み ・is_deletable関数での削除可否判定が限定的(wp-config.phpと.htaccessのみ除外) ・サーバー全体の重要なシステムファイルへのアクセス制限が不十分 (3) 権限チェックの不備 ・購読者レベルの低い権限でも高危険度の機能が実行可能 ・プラグインのアドバンスモード有効時に追加の権限チェックが不十分 ・ファイル削除という重要操作に対する適切な管理者権限確認の欠如 (4) セキュリティ境界の曖昧さ ・マルウェア除去機能として実装されたファイル削除機能の悪用 ・正当な機能と攻撃手段の区別が技術的に困難 ・プラグインの高い権限設定が攻撃の踏み台として利用される構造 |
| 脆弱性の種類 | CWE-862 認証の欠如 |
| 推奨対応事項 | 該当プラグインをご利用の場合、以下の緊急対応を強く推奨します (1) プラグインの即座停止 ・プラグインを直ちに無効化(削除推奨) ・アドバンスモードが有効になっている場合は特に緊急対応が必要 (2) サーバー状態の緊急確認 ・重要ファイルの存在確認 - wp-config.php、.htaccessファイルの存在と内容確認 - データベース接続の正常性確認 - SSL証明書ファイルの存在確認 ・システムログの確認 - アクセスログでの不審なAJAXリクエスト(wpmr_delete_file)の有無 - エラーログでのファイル削除エラーや権限エラーの確認 - 短時間での大量ファイル削除アクセスの痕跡 (3) セキュリティ状態の詳細確認 ・ユーザーアカウントの監査 - 不審な購読者アカウントの存在確認 - 最近作成された低権限アカウントの洗い出し - パスワード強度と最終ログイン時刻の確認 ・ファイルシステムの整合性確認 - WordPressコアファイルの整合性チェック - プラグイン・テーマファイルの改ざん確認 - 予期しないファイルの存在や消失の確認 (4) 復旧・強化対策 ・バックアップからの復旧:削除されたファイルがある場合の即座復旧 ・代替セキュリティプラグインの導入:信頼性の高い他のセキュリティプラグインへの移行 ・サーバー権限の見直し:ファイル削除権限の制限強化 ・監視体制の強化:ファイル変更監視システムの導入 ⇒サイトに異常が見られる場合や、重要ファイルが削除されている場合は、レンタルサーバー会社への緊急連絡やWordPressセキュリティ専門家への相談を強く推奨します。 |
| 影響を受けるバージョン | Malcure Malware Scanner 16.8 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-6043 / RESERVED(2025/07/16時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.1 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Malcure Malware Scanner プラグインの公開停止について、ご利用中のお客様へは順次メールにてお知らせしております。
WordPress プラグイン Malcure Malware Scanner 情報
| 最新版 バージョン | 16.0 |
|---|---|
| 対象 WordPress バージョン | 3.7.4 またはそれ以降 検証済み最新バージョン :6.7.1 |
| 有効インストール数 | 10,000+ |
| プラグイン ページ | Malcure Malware Scanner — #1 Toolset for WordPress Malware Removal – WordPress プラグイン | WordPress.org 日本語 |
