WordPressでデータテーブルを作成するプラグイン「Ninja Tables – Easy Data Table Builder」のバージョン 5.0.18 以下のすべてのバージョンで、深刻なセキュリティ脆弱性が発見されました。
この脆弱性により、ログイン不要で攻撃者が利用中のサーバーを踏み台として悪用し、他のサイトへの攻撃や内部情報の盗み見を行うことが可能となっています。サイトが攻撃の踏み台にされるリスクがあるため、直ちに対策バージョン 5.0.19 以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・利用中のサーバーが攻撃の踏み台に - 他のWebサイトへのスパム送信に悪用 - サイバー攻撃の発信元として利用 - あなたのサイトのIPアドレスがブラックリストに登録される可能性 ・サーバー内の他の情報が盗まれる - 同じサーバー内の他のサイトの情報漏洩 - データベースの接続情報の盗み見 - サーバー管理画面への不正アクセス試行 ・外部サービスへの迷惑行為 - SNSや問い合わせフォームへのスパム送信 - 他社のAPIサービスの不正利用 - 大量アクセスによる他サイトへの迷惑行為 ・法的リスク - 攻撃の踏み台として利用され、被害サイトから損害賠償請求 - サーバー会社からの利用停止措置 - 信頼失墜によるサイト評価の低下 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) ログイン不要での悪用が可能 ・WordPressにログインしなくても攻撃可能 ・プラグインが外部からの指示を無条件で実行 ・攻撃者が自由にアクセス先を指定可能 (2) アクセス制限の不備 ・どんなWebサイトにでもアクセス要求を送信 ・サーバー内部の機密情報にもアクセス可能 ・悪意のあるサイトへの自動アクセス (3) 攻撃の発見が困難 ・通常のプラグイン機能として動作するため気づきにくい ・ログに残りにくい攻撃手法 ・被害が表面化するまで時間がかかる |
| 脆弱性の種類 | CWE-918 サーバサイドのリクエストフォージェリ (SSRF) |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) 緊急の対策 ・プラグインを対策バージョン(5.0.19以降)に直ちに更新 (2) 被害確認 ・アクセスログの確認 - WordPressの管理画面 → プラグイン → インストール済みプラグインで「Ninja Tables」のバージョン確認 - レンタルサーバーのアクセスログで不審な大量アクセスの有無 - サイトの表示速度に異常がないかの確認 ・サーバーの確認 - レンタルサーバー会社から警告メールが来ていないか確認 - サーバーの利用状況に異常がないか確認 - 帯域制限や利用停止の通知がないか確認 (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・セキュリティプラグインの導入:WordPressセキュリティプラグインの利用 ・バックアップの実施:定期的なサイトバックアップ ・監視サービスの利用:サイト監視サービスでの異常検知 ⇒サーバー会社から警告が来ている場合や、サイトに異常がある場合は、レンタルサーバー会社のサポートやWordPressの専門家への相談をお勧めします。 |
| 影響を受けるバージョン | Ninja Tables 5.0.18 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-2940 / RESERVED(2025/06/27時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.2 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Ninja Tables プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン Ninja Tables 情報
| 最新版 バージョン | 5.5.1 |
|---|---|
| 対象 WordPress バージョン | 7.4 またはそれ以降 検証済み最新バージョン :6.8.1 |
| 有効インストール数 | 80,000+ |
| プラグイン ページ | Ninja Tables – Easy Data Table Builder – WordPress プラグイン | WordPress.org 日本語 |
