WordPressでオーディオプレイヤー機能を提供するプラグイン「HTML5 Audio Player – The Ultimate No-Code Podcast, MP3 & Audio Player」のバージョン 2.5.1 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、WordPressアカウントを持たない第三者が、サーバーに対して任意の外部URLへのリクエストを送信させることが可能です。対策バージョン 2.5.2 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 内部ネットワーク情報の探索
- サーバーから内部ネットワークへのリクエストが送信される
- 通常は外部から保護されている内部サービスの情報が取得される可能性
- クラウド環境の場合、メタデータサービスから機密情報が読み取られる恐れ
- サーバーリソースの悪用
- 攻撃者が指定した外部サイトへサーバーからリクエストが送信される
- 第三者への攻撃の踏み台として利用される可能性
- 大量のリクエスト送信によるサーバー負荷の増大
- 被害発生の条件
- WordPressへのログインは不要(未認証の第三者でも攻撃可能)
- プラグインの特定機能に対して不正なリクエストが送信される
技術的な詳細
この脆弱性は、以下の問題に起因します。
- アクセス先URLの制限不足
- オーディオストリーム情報を取得する機能で、アクセス可能なURLの範囲を制限していなかった
- 攻撃者が任意のURLを指定できる状態だった
- 本来はホワイトリストで許可されたドメインのみアクセスすべきところ、この確認処理が実装されていなかった
- 認証チェックの欠如
- 本来は適切なユーザー認証を行うべき機能で、認証確認が不十分だった
- そのため、WordPressアカウントを持たない第三者でも機能を利用できる状態だった
- リクエストの正当性確認が不適切
- セキュリティトークン(nonce)の検証方法に不備があった
- 外部から送信された不正なリクエストでも処理が実行される状態だった
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 速やかに、プラグインを対策バージョン(2.5.2以降)に更新してください
- 被害確認
- サーバーのアクセスログから、不審な内部ネットワークへのリクエストがないか確認
- 具体的には、ローカルIPアドレス(127.0.0.1、192.168.x.x、10.x.x.x等)へのアクセス記録を確認
- 外部への大量のHTTPリクエストが記録されていないか確認
- 追加のセキュリティ対策
- 使用していない機能のプラグインであれば無効化または削除を検討
- サーバーのファイアウォール設定で、不要な外部通信を制限
⇒サーバーログに不審なアクセスが見られる場合や、サーバー負荷の異常が確認された場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
HTML5 Audio Player – The Ultimate No-Code Podcast, MP3 & Audio Player 2.5.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-13999 
(公開日 2025年12月19日 更新日 2025年12月19日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (高) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13999 悪用確率 0.07% (上位79%) 2026年1月6日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
HTML5 Audio Player プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
