WordPressで旅行ツアー予約・管理を行うプラグイン「WP Travel Engine – Tour Booking Plugin – Tour Operator Software」のバージョン 6.6.7 以下のすべてのバージョンで、深刻なセキュリティ脆弱性が複数発見されました。
これらの脆弱性により、ログインしていない攻撃者でも、サーバー上の重要なファイルを削除したり、任意のプログラムコードを実行したりすることが可能となっています。特に、WordPressの設定ファイル(wp-config.php)を削除されると、サイト全体が攻撃者の制御下に置かれる危険性があります。対策バージョン 6.6.8 以降への早急な更新を強く推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます
- サイトの完全な乗っ取り
- WordPress設定ファイルの削除
- wp-config.phpを削除されると、WordPressが初期化状態に戻る
- 攻撃者が新たなデータベース接続設定を注入可能
- サイト全体が攻撃者の完全な制御下に置かれる
- 機密情報の漏洩
- データベース接続情報の窃取
- 設定ファイル内のデータベース認証情報が読み取られる
- 顧客の予約情報、個人情報、決済情報へのアクセス
- サーバー内の機密ファイルへのアクセス
- 他のプラグインやテーマの設定情報
- バックアップファイルに含まれる過去の情報
- WordPress設定ファイルの削除
- サイト機能の破壊
- 重要ファイルの削除
- プラグイン本体やテーマファイルの削除
- サイトが正常に動作しなくなる
- 復旧に多大な時間とコストが発生
- 継続的な攻撃の起点化
- バックドアの設置
- 悪意のあるコードを設置され、継続的にアクセスされる
- 他の攻撃の踏み台として悪用される
- 気づかないうちに長期間被害が継続
- 重要ファイルの削除
技術的な詳細
この脆弱性は、以下の問題により発生します
- プロフィール画像アップロード機能における検証不備
- ファイルパスの検証不足
- ユーザーが指定したファイルパスをそのまま信頼して処理
- 正規化処理が実装されていない
- アップロードディレクトリ配下であることの確認が不十分
- ファイル移動機能の不適切な使用
- サーバー上の任意の場所にあるファイルを移動可能
- パストラバーサル(../../../など)を利用した攻撃に脆弱
- 重要なシステムファイルへの影響が可能
- 修正内容
- パス正規化処理を実装
- アップロードディレクトリ配下であることを厳密に検証
- ファイル種別の確認を追加
- ファイルパスの検証不足
- 表示モード切替機能における入力検証の不備
- ユーザー入力の直接使用
- AJAXリクエストの表示モード指定をテンプレートファイル名に直接連結
- “content-{表示モード}.php”の形式で任意のファイルパスを構築可能
- パストラバーサルにより任意の.phpファイルを指定可能
- テンプレート読み込み処理による実行
- 指定されたファイルが存在すれば、PHPコードとして実行
- サーバー上の設定ファイルや他のプラグインのファイルも実行対象
- 認証なしでAJAXエンドポイントにアクセス可能
- 修正内容
- ユーザー入力を直接使用せず、安全なデフォルト値のみを使用
- 許可リスト方式のテンプレート名検証機能を実装
- ユーザー入力の直接使用
- 認証不要での攻撃実行
- 両脆弱性共通の問題
- WordPressにログインしていない状態でも攻撃が実行可能
- プロフィール画像設定機能が他のエンドポイントから呼び出し可能
- AJAXエンドポイントの認証チェックが不適切
- 両脆弱性共通の問題
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します
- プラグインの更新
- プラグインを対策バージョン(6.6.8以降)に即座に更新
- 被害確認
- 重要ファイルの存在確認
- wp-config.phpが正常に存在するか
- .htaccessファイルに不審な記述がないか
- wp-content/uploads/wp-travel-engine/配下に不審なファイルがないか
- ファイルの改変チェック
- WordPressコアファイルの整合性確認
- プラグイン・テーマファイルのタイムスタンプ確認
- 身に覚えのない.phpファイルの存在確認
- 不審なリクエストの検出(アクセスログの確認)
- admin-ajax.phpへの異常なPOSTリクエスト
- “mode”パラメータに”../”を含むリクエスト
- “user_profile_image”パラメータに通常と異なるパスを含むリクエスト
- 時期の特定(アクセスログの確認)
- 不審なアクセスが集中している時間帯
- 通常とは異なるIPアドレスからのアクセス
- 不審なユーザーアカウント(データベースの確認)
- 身に覚えのない管理者アカウントの有無
- 最近作成された権限の高いユーザー
- メタデータの異常(データベースの確認)
- wte_users_metaに不審な値がないか
- 予約データに異常なエントリーがないか
- 重要ファイルの存在確認
- 追加のセキュリティ対策
- 定期的なプラグイン更新:すべてのプラグインを最新版に保つ
- セキュリティプラグインの導入:WordPressセキュリティプラグインの利用
- バックアップの実施:定期的なサイト全体のバックアップ
- アクセス制限の強化: 管理画面へのIP制限
- WAF(Webアプリケーションファイアウォール)の導入検討
- ファイルアップロード機能の権限見直し
⇒サイトに異常な動作が見られる場合や、重要ファイルが削除・改変されている場合は、WordPressの専門家への相談を強くお勧めします。
影響を受けるバージョン
WP Travel Engine 6.6.7 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-7526 
(公開日 2025年10月9日 更新日 2025年10月9日)
CVE-2025-7634
(公開日 2025年10月9日 更新日 2025年10月9日)
脆弱性の深刻度 (CVSS v3)
脆弱性脅威度(EPSS)
CVE-2025-7526 悪用確率 0.78% (上位27%) 2025年11月13日時点
CVE-2025-7634 悪用確率 0.54% (上位33%) 2025年11月13日時点
参考
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Travel Engine プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
