WordPressで翻訳管理を行うプラグイン「My WP Translate」のバージョン 1.1 以下のすべてのバージョンで、重大なセキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、本来変更権限を持たないWordPressの基本設定を任意に変更し、最終的に管理者権限を取得することが可能となってしまいいます。特に、新規ユーザー登録時の初期権限を管理者に変更することで、攻撃者が新たに管理者アカウントを作成できる状態になります。
2025年9月11日現在、この脆弱性への対策版はリリースされていないため、このプラグインの削除を強く推奨します。削除できない事情がある場合には、専門家等にご相談ください。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・管理者権限の不正取得 - 低権限ユーザーがWordPressの基本設定を変更 - 新規登録ユーザーの初期権限を「管理者」に変更される - 攻撃者が管理者アカウントを新たに作成可能 ・サイト全体の制御権奪取 - サイトの全設定が変更される - 他のユーザーアカウントが削除・変更される - プラグインやテーマが任意に追加・削除される ・継続的な不正アクセス - 作成された管理者アカウントは発見まで残り続ける - バックドアとして長期間悪用される可能性 - 正規管理者でも気づきにくい巧妙な攻撃 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) AJAX関数での権限チェック不備 ・翻訳データのインポート機能「ajax_import_strings()」に権限確認処理が不十分 ・CSRFトークンの確認はあるが、ユーザーの操作権限レベルを確認していない ・購読者レベル以上の全ユーザーがこの機能を実行可能 (2) 任意オプション更新の許可 ・翻訳データ保存用の「update_option()」関数が制限なく使用されている ・本来は翻訳データのみを対象とすべきだが、任意のWordPressオプションを更新可能 ・特に「default_role」(新規登録時の初期権限)と「users_can_register」(ユーザー登録許可)の変更が危険 (3) 内部攻撃への脆弱性 ・外部からの攻撃ではなく、既にサイトに登録済みのユーザーによる内部攻撃 ・一般的な外部攻撃対策では防げない ・低権限ユーザーでも特定の操作により権限昇格が可能 |
| 脆弱性の種類 | CWE-862 認証の欠如 |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) 緊急対応 ・プラグインの即座の無効化および削除 (2) 被害確認 ・ユーザー一覧の確認 - 身に覚えのない管理者アカウントが作成されていないかチェック - 最近作成されたユーザーの権限レベルを確認 - 不審なユーザー名やメールアドレスがないか確認 ・WordPress設定の確認 - ダッシュボード>設定>一般で「誰でもユーザー登録ができる」がチェックされていないか - 「新規ユーザーのデフォルト権限グループ」が「管理者」に変更されていないか - その他の基本設定に異常な変更がないか ・アクセスログの確認 - 翻訳機能への不審なアクセスの有無 - 「ajax_import_strings」を含むリクエストの確認 - 短時間での大量の設定変更アクセス (3) 追加のセキュリティ対策 ・ユーザー権限の見直し:必要最小限の権限のみを付与 ・定期的な権限監査:管理者アカウントの定期確認 ・セキュリティプラグインの導入:権限変更の監視機能付き ・二要素認証の実装:管理者アカウントへの追加保護 ⇒サイトに不審なユーザーアカウントが作成されている場合や、設定に異常な変更が見られる場合は、WordPressの専門家などへの相談をお勧めします。 |
| 影響を受けるバージョン | My WP Translate 1.1 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-8425 / RESERVED(2025/09/11時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.8 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
My WP Translate プラグインをご利用のお客様へは、「緊急対応と被害確認の手順」メールを順次ご案内しております。
WordPress プラグイン My WP Translate 情報
| 説明 | このプラグインの公開は2025年9月10日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。 |
|---|---|
| 最新版 バージョン | 1.1 |
| 対象 WordPress バージョン | 5.6 またはそれ以降 検証済み最新バージョン :5.9.11 |
| 有効インストール数 | 8,000+ (2025/07/17時点) |
| プラグイン ページ | My WP Translate <= 1.1 – Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update |
