WordPressで広告管理を行うプラグイン「Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager」のバージョン 4.89 以下のすべてのバージョンで、極めて深刻な複数のセキュリティ脆弱性が発見されました。
これらの脆弱性により、ログイン不要で攻撃者がサーバーを完全に乗っ取り、任意のコードを実行することが可能となっています。10,339の販売実績があるプラグインのため、多数のサイトが影響を受ける可能性があり、直ちにプラグインの削除または無効化を強く推奨します。
想定される事象
| 想定される被害 | これらの脆弱性により、以下のような極めて深刻な被害が想定されます ・サーバーの完全乗っ取り - 攻撃者が任意のプログラムを実行可能 - サーバー内のすべてのファイルにアクセス - データベースの完全な制御権を奪取 - 管理者権限での不正操作 ・機密情報の大量漏洩 - 顧客情報やパスワードの盗み見 - データベース内のすべての情報が対象 - 他のサイトの情報も含めて漏洩 - 個人情報保護法違反のリスク ・サイトの改ざんと悪用 - サイト内容の書き換え - マルウェアの埋め込み - フィッシングサイトへの改変 - 訪問者のPCへのウイルス感染 ・攻撃の踏み台として悪用 - 他のサイトへのサイバー攻撃の発信源に - スパムメール送信の踏み台 - 大規模なDDoS攻撃への参加 - IPアドレスのブラックリスト登録 ・法的・経済的リスク - 情報漏洩による損害賠償請求 - サーバー会社からの利用停止 - 信頼失墜による事業への深刻な影響 - 復旧作業による高額な費用負担 |
|---|---|
| 技術的な詳細 | 発見された脆弱性は以下の通りです: (1) ファイルインクルージョン脆弱性(最重要) ・ログイン不要で任意のファイルを実行可能 ・攻撃者が悪意のあるプログラムをアップロード・実行 ・サーバーの完全な制御権を奪取可能 (2) SQLインジェクション(複数箇所) ・データベースの内容を自由に取得・改変 ・顧客情報やパスワードなどの機密情報が漏洩 ・時間ベース攻撃により検知を回避 (3) クロスサイトリクエストフォージェリ ・管理者を騙してPHPコードを注入 ・正規の管理者操作を装った攻撃 ・管理者権限での不正操作 (4) 認証回避 ・すべての攻撃がログイン不要で実行可能 ・外部からの直接攻撃が可能 ・攻撃の痕跡が残りにくい |
| 脆弱性の種類 | CWE-98 PHP リモートファイルインクルージョン CWE-89 SQLインジェクション CWE-352 クロスサイトリクエストフォージェリ(CSRF) |
| 推奨対応事項 | 該当プラグインをご利用の場合、以下の対応を緊急で実施してください: (1) 最優先対応(直ちに実施) ・プラグインの即座無効化または削除 ・現在、安全な修正版は提供されていません ・販売サイトでも「This item is no longer available 入手不可能」と案内済み (2) 被害確認(必須) ・サイトの改ざん確認 - サイトの表示内容に異常がないか - 見覚えのないファイルが追加されていないか - 管理画面へのログイン状況確認 ・アクセスログの確認 - 不審な大量アクセスの有無 - 海外からの異常なアクセス - データベースへの不正アクセス痕跡 ・サーバー状況の確認 - レンタルサーバー会社からの警告通知 - サーバー利用量の異常な増加 - 帯域制限や速度制限の発生 (3) セキュリティ強化対策 ・全プラグインの最新版への更新 ・WordPress本体の最新版への更新 ・管理者パスワードの変更 ・セキュリティプラグインの導入 ・定期バックアップの実施 ・Webアプリケーションファイアウォール(WAF)の導入 (4) 専門家への相談 ・サーバーに異常がある場合は直ちに専門家に相談 ・情報漏洩の可能性がある場合は法的対応も検討 ・レンタルサーバー会社のサポートに状況報告 ⇒重要: このプラグインは既に販売を中止しており。修正版の提供予定も不明なため、使用継続は極めて危険です。 |
| 影響を受けるバージョン | Ads Pro Plugin 4.89 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-4380 / RESERVED(2025/07/02時点) CVE-2025-4689 / RESERVED(2025/07/02時点) CVE-2025-4381 / RESERVED(2025/07/02時点) CVE-2025-6459 / RESERVED(2025/07/02時点) CVE-2025-6437 / RESERVED(2025/07/02時点) CVE-2025-5339 / RESERVED(2025/07/02時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.1 (重大) [Wordfence] 基本値: 9.8 (深刻) [Wordfence] 基本値: 7.5 (重大) [Wordfence] 基本値: 8.8 (重大) [Wordfence] 基本値: 7.5 (重大) [Wordfence] 基本値: 7.5 (重大) [Wordfence] |
参考
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager <= 4.89 – Unauthenticated SQL Injection
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Ads Pro Plugin プラグインをご利用のお客様へは、「販売終了による、修正版の提供予定も未定のため、引き続きご利用ができない」旨のメールを順次ご案内しております。
WordPress プラグイン Ads Pro Plugin 情報
| Last Update | 15 December 2024 |
|---|---|
| Published | 2 February 2015 |
| Software Version | WordPress 6.7.x ~ WordPress 4.9.x |
| sales | 10,575 |
| プラグイン ページ | Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager by scripteo |
