WordPressでお店や企業の情報を掲載する“地域ビジネス情報サイト”やユーザーが投稿できる“募集・売買・求人などの掲示板サイト”を管理するプラグイン「Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings」のバージョン 8.4.8 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みのユーザー(購読者レベル以上)が、サーバー上の任意のファイルを不正に移動させることが可能です。重要な設定ファイルが移動されると、サイトの停止や機密情報の漏洩、さらには悪意のあるプログラムの実行につながる恐れがあります。対策バージョン 8.4.9 以降への更新を強く推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- サーバー上のファイルが不正に移動される
- サイトに登録済みの低権限ユーザー(購読者レベル)が、リスティング(掲載情報)の画像アップロード機能を悪用して、サーバー上の任意のファイルを別の場所に移動できる
- 重要ファイルの移動による深刻な影響
- WordPressの設定ファイル(wp-config.php)が移動されると
- サイト全体が動作しなくなる(可用性への影響)
- 移動先がWebアクセス可能な場所の場合、データベース接続情報やセキュリティキーなどの機密情報が漏洩する(機密性への影響)
- WordPressの設定ファイル(wp-config.php)が移動されると
- 悪意のあるプログラムの実行
- 攻撃者が不正なPHPファイルをアップロードし、既存の正規なファイルの位置に移動させることで、Webサーバー上で任意のプログラムを実行できる可能性がある
- 被害発生の条件
- サイトに登録済みのユーザーアカウントを持っている(購読者レベル以上の権限)
- リスティング(掲載情報)の投稿・編集機能にアクセスできる
技術的な詳細
この脆弱性は、以下の問題に起因します。
- ファイル名の検証が不十分
- 画像アップロード処理において、ユーザーが指定したファイル名を適切に検証せずに使用している
- 本来は
sanitize_file_name()という関数でファイル名を安全な形式に変換する必要があるが、これが実装されていなかった - そのため、
../などの特殊な文字列を含むファイル名を指定することで、意図しないディレクトリのファイルを操作できてしまう
- ファイル移動処理の不適切な実装
- 画像ファイルを一時ディレクトリから本来のアップロード先に移動する際、移動元のパス(※パス:ファイルの保存場所を示す文字列)を攻撃者が制御できる
- 攻撃の流れ(詳細は省略)
- 画像アップロード機能を使って、特殊な名前のファイルを指定
- サーバー上の任意のファイル(例:〈重要ファイル〉)を移動元として指定
- そのファイルが、Webからアクセス可能な場所に移動される
- 移動されたファイルにアクセスして内容を取得、またはサイトの動作を停止させる
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- プラグインを対策バージョン(8.4.9以降)に速やかに更新してください
- 被害確認
- WordPress管理画面の「ユーザー」メニューから、身に覚えのないユーザーアカウントが登録されていないか確認
- サーバーのアップロードディレクトリ(通常は
/wp-content/uploads/)に、wp-config.php など通常存在しないファイルがないか確認
- 不審な点が見られる場合
- WordPressの専門家やセキュリティ専門家への相談をお勧めします
- サーバーのアクセスログを確認し、不審なリクエストがないか調査することも有効です
影響を受けるバージョン
Directorist 8.4.8 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-10488 
(公開日 2025年10月25日 更新日 2025年10月25日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-10488 悪用確率 0.14% (上位65%) 2025年10月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Directorist プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
