WordPress で自動車販売サイトを構築するプラグイン「Motors – Car Dealership & Classified Listings Plugin」のバージョン 1.4.89 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、プロフィール画像削除機能を悪用して、本来削除できないサーバー上の重要なファイルを削除することが可能となっています。削除されるファイルによっては、サイト全体が動作不能になるリスクがあります。対策バージョン 1.4.90 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます
- サイトの完全停止
- WordPress の設定ファイル(wp-config.php)が削除されると、データベースへの接続情報が失われる
- サイト全体が「データベース接続エラー」で表示不能になる
- 復旧にはバックアップからの復元が必要
- サイト機能の部分的な停止
- プラグインの重要ファイルが削除されると、該当機能が動作しなくなる
- 車両検索、在庫表示、問い合わせフォームなどの機能が使用不能になる
- 訪問者が正常にサイトが利用できなくなる
- セキュリティ設定の無効化
- サーバー設定ファイル(.htaccess)が削除されると、アクセス制限が解除される
- 本来保護されているディレクトリへのアクセスが可能になる
- さらなる攻撃の足がかりとなる可能性
- 攻撃実行の容易さ
- 会員登録機能があるサイトでは、誰でも購読者として登録可能
- 登録後、通常のプロフィール編集機能を悪用して攻撃を実行できる
- 特別な技術知識がなくても攻撃可能な状態
技術的な詳細
この脆弱性は、以下の問題により発生します
- ファイルパスの検証不備
- プロフィール画像削除時に、削除対象のファイルパスを適切に検証していない
- ユーザーが設定した画像ファイルのパス情報を、そのまま信用して削除処理を実行
- 本来のアップロードディレクトリ外のファイルも削除可能な状態
- ディレクトリトラバーサル対策の欠如
- 修正前のコードでは パスの正規化が行われていない
- 相対パス記号を含むパス情報が処理可能な状態
- アップロードディレクトリ内であることの確認処理が存在しない
- ファイル種別の検証不備
- 削除対象が画像ファイルであることの確認が行われていない
- 拡張子のチェック処理が実装されていない
- あらゆる種類のファイル(.php、.htaccess等)が削除可能
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します
- プラグインの更新
- プラグインを対策バージョン(1.4.90以降)に速やかに更新
- 被害確認
- サイトの動作確認
- サイトが正常に表示されるか確認
- 車両検索、在庫表示などの主要機能が動作するか確認
- 管理画面へのログインが可能か確認
- 重要ファイルの確認
- wp-config.php が存在するか確認
- .htaccess ファイルが存在し、内容が正常か確認
- プラグインディレクトリ内のファイルが欠損していないか確認
- ユーザーアカウントの確認
- 登録ユーザーのリストを確認
- 不審なアカウント(短期間での登録後すぐの退会など)の有無
- プロフィール画像の変更・削除履歴に不自然な動きがないか
- サーバーログの確認
- アクセスログで actions.php への不審なPOSTリクエストの有無
- エラーログで unlink() 関連のエラーや警告の記録
- 同一IPアドレスからの連続的なプロフィール編集アクセス
- サイトの動作確認
- 追加のセキュリティ対策
- 定期的なプラグイン更新:すべてのプラグインを最新版に保つ
- バックアップの実施:毎日の自動バックアップ設定
- ユーザー登録の制限:必要に応じて会員登録を承認制に変更
- セキュリティプラグインの導入:WordPress セキュリティプラグインの利用
⇒サイトに異常な動作が見られる場合や、重要ファイルの欠損が確認された場合は、バックアップからの復元とWordPressの専門家への相談をお勧めします。
影響を受けるバージョン
Motors – Car Dealership & Classified Listings Plugin 1.4.89 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-10494 
(公開日 2025年10月8日 更新日 2025年10月8日)
脆弱性の深刻度 (CVSS v3)
基本値:8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-10494 悪用確率 0.39% (上位40%) 2025年11月13日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Motors – Car Dealership & Classified Listings Plugin をご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
