WordPressのログインページをカスタマイズするプラグイン「Custom Login Page Customizer」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.5.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、ユーザーのパスワードを変更され、アカウントを乗っ取られる可能性があります。
対策として、バージョン 2.5.4 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ユーザーが自分でパスワードを設定できる機能において、パスワード生成処理の適用範囲が適切に制限されていなかったことに起因します。
本来、この機能は新規ユーザー登録時のみに適用されるべきものでしたが、WordPress全体のパスワード生成処理に影響を与える形で実装されていました。その結果、パスワードリセット機能を通じて、攻撃者が対象ユーザーのパスワードを指定した値に変更できる状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
アカウント乗っ取りによる影響
- ユーザー名またはメールアドレスが知られているユーザーのアカウントが乗っ取られる可能性
- 管理者アカウントが乗っ取られた場合、サイトコンテンツの改ざん、個人情報の窃取、マルウェアの設置などが行われる恐れ
被害発生の条件
- 攻撃者がサイトにアクセスできれば、ログインや特別な権限なしに攻撃が可能
- 被害者側の操作(リンクのクリック等)も不要
気づかないうちに被害を受ける恐れがあります。
技術的な詳細
本脆弱性は、パスワード生成時に呼び出される WordPress の内部処理(random_password フィルター)に対して、外部から送信されたデータをそのまま採用していた点が原因です。
本来、ユーザー登録フォームで入力されたパスワードのみを処理すべきところ、リクエストの発生元を確認せず、また入力値の安全性確認(サニタイズ)も行わずにパスワードを上書きしていました。
このため、パスワードリセット処理など、本来この機能が動作すべきでない場面でも、攻撃者が特定のパラメータを含むリクエストを送信することで、生成されるパスワードを任意の値に差し替えることが可能でした。
修正版では、このフィルター処理が削除され、パスワード設定はユーザー登録完了時のみに限定されるよう改修されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.5.4 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、
身に覚えのない管理者アカウントが存在しないか確認してください。 - 既存ユーザー(特に管理者)について、最終ログイン日時に不審な点がないか確認してください。
- 不審なアカウントや履歴が確認された場合は、該当アカウントのパスワード変更または削除を行ってください。
- WordPress管理画面の「ユーザー」メニューより、
- 追加のセキュリティ対策
- 管理者アカウントのパスワードを念のため変更することを推奨します。
- 二要素認証(2FA)の導入により、パスワードが漏洩した場合のリスクを軽減できます。
- 管理者のユーザー名に「admin」など推測されやすい名前を使用している場合は、変更を検討してください。
⇒不審なアカウントや操作履歴が確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Custom Login Page Customizer 2.5.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14975 
(公開日 2026年1月29日 更新日 2026年1月29日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14975 悪用確率 0.01% (上位98%) 2026年2月3日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Custom Login Page Customizer プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
