WordPressでCSV・XMLファイルのインポート機能を提供するプラグイン「WP Import – Ultimate CSV XML Importer for WordPress」のバージョン 7.27 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、管理者専用のFTP機能にアクセスし、設定されたFTP/SFTP認証情報を不正に取得することが可能となっています。バージョン 7.28 以降への更新を推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・設定済みFTP認証情報の漏洩 - 管理者が設定したFTP/SFTPサーバーのホスト名、ポート番号、ユーザー名、パスワードが不正取得される - 漏洩した認証情報により、FTPサーバー上の機密ファイルにアクセスされる可能性 - 他のシステムで同じ認証情報を使い回している場合、被害が拡大する恐れ ・管理者専用機能の不正利用 - 一般ユーザーが本来管理者のみが使用できるFTPダウンロード機能を悪用される - 大容量ファイルの不正ダウンロードによりサーバーリソースが消耗される - 管理者の意図しないファイルがサーバーに保存される可能性 ・権限昇格による不正操作 - 一般ユーザーが管理者専用機能を悪用できる状態 - 本来アクセスできない機密情報やシステム設定への不正アクセス |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) ユーザー権限チェックの不備 ・FTP機能の利用時に current_user_can('manage_options') による管理者権限の確認が不足・ check_ajax_referer() によるnonce検証のみでは、ログイン済みユーザーの権限レベルは確認されない・購読者や投稿者といった一般ユーザーでも管理者専用機能にアクセス可能な状態 (2) 影響を受ける機能 ・ getFtpDetails() 関数:保存されたFTP認証情報の取得機能・ upload_function() 関数:FTPサーバーからのファイルダウンロード機能・これらの機能が適切な権限チェックなしで一般ユーザーに開放されていた (3) 認証された攻撃者による悪用 ・WordPressサイトに何らかの権限でログインできれば攻撃実行が可能 ・適切なnonceトークンを取得することで、AJAX経由での不正操作が実行される ・管理画面へのアクセス権限がなくても、対象機能への直接アクセスが可能 |
| 脆弱性の種類 | CWE-862 認証の欠如 |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの更新 ・プラグインを対策バージョン(7.28以降)に更新 (2) 被害確認 ・FTP設定の確認 - 設定されたFTP認証情報に異常なアクセス形跡がないか確認 - FTPサーバー側のアクセスログで不審な接続の有無をチェック - 他のシステムで同じ認証情報を使用している場合は変更を検討 ・ファイル・サーバー状況の確認 - アップロードディレクトリに身に覚えのないファイルがないか確認 - サーバーの容量使用状況に異常な増加がないかチェック - WordPressサイトの動作に異常がないか確認 ・ユーザーアカウントの見直し - 不要な一般ユーザーアカウントの削除や権限見直し - 信頼できないユーザーのアカウント状況確認 (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・FTP認証情報の変更:漏洩リスクを考慮した認証情報の更新 ・アクセス制限の強化:FTP機能を使用するユーザーの限定 ・定期的なセキュリティ監査:ユーザー権限とアクセス状況の定期確認 ⇒FTP認証情報の不正使用が疑われる場合や、サーバーに異常なファイルが見つかった場合は、WordPressの専門家などへの相談をお勧めします。 |
| 影響を受けるバージョン | WP Import 7.27 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-10040 / 2025/09/10 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.7 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Import プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン AutomatorWP 情報
| 最新版 バージョン | 7.28 |
|---|---|
| 対象 WordPress バージョン | 5.0 またはそれ以降 検証済み最新バージョン :6.8.2 |
| 有効インストール数 | 20,000+ |
| プラグイン ページ | WP Import – Ultimate CSV XML Importer for WordPress – WordPress プラグイン | WordPress.org 日本語 |
