WordPressのテーマ編集を行うプラグイン「Theme Editor」のバージョン 3.0 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、攻撃者が管理者を誘導することで、サイトのテーマファイルを改ざんすることが可能となっています。対策バージョン 3.1 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます
- テーマファイルの改ざん
- 管理者がログイン中に不審なリンクをクリックすると、テーマファイル(PHPファイル)が書き換えられる
- 書き換えられたPHPファイルは、サイト表示時に自動的に実行される
- 攻撃者が埋め込んだコードが実行され、サイトが意図しない動作をする
- 管理者が気づきにくい
- 攻撃は管理者の通常の権限で実行されるため、ログに異常として記録されない
- ファイルの変更日時が更新されるが、改ざんと気づきにくい
- プラグインを更新するまで、改ざんされたファイルは残り続ける
技術的な詳細
この脆弱性は、以下の問題に起因します
- リクエスト検証の不備
- テーマファイルを更新する処理で、POSTリクエストに対するnonce検証が実装されていない
- 正規の管理画面からの操作か、外部からの偽造リクエストかを区別できない
- 管理者がログイン中であれば、外部からのリクエストでもファイル書き換えが実行される
- CSRF攻撃の成立条件
- 攻撃者は管理者を不審なページに誘導する必要がある(リンクのクリックなど)
- 管理者がWordPressにログインしている状態が必要
- 上記2つの条件が揃うと、テーマファイルが攻撃者の指定した内容で上書きされる
- 影響を受けるファイル
- 書き換え可能なのは、テーマディレクトリ内の書き込み権限があるファイル
- PHPファイルが書き換えられた場合、そのコードがサイト上で実行される
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を推奨します
- プラグインの更新
- プラグインを対策バージョン(3.1以降)に即座に更新
- 被害確認
- テーマファイルの確認
- 使用中のテーマファイルに不審な変更がないか確認
- 特にPHPファイル(functions.phpなど)に見覚えのないコードがないかチェック
- ファイルの更新日時に不自然な変更がないか確認
- テーマファイルの確認
- 追加のセキュリティ対策
- CSRF攻撃への対策
- WordPress管理者は、ログイン中に不審なリンクをクリックしない
- 信頼できないサイトへのアクセスを避ける
- 作業終了後はWordPressからログアウトする習慣をつける
- CSRF攻撃への対策
⇒テーマファイルに不審な変更が見られる場合は、バックアップからの復元、またはWordPressの専門家への相談をお勧めします。
影響を受けるバージョン
Theme Editor 3.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-9890 
(公開日 2025年10月18日 更新日 2025年10月20日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-9890 悪用確率 0.06% (上位80%) 2025年10月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Theme Editor プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
