WordPress で広告管理を行うプラグイン「Advanced Ads – Ad Manager & AdSense」のバージョン 2.0.12 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない攻撃者が特定の処理を不正に実行し、本来アクセスできない情報を取得される可能性があります。対策バージョン 2.0.13 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 非公開情報の取得
- 投稿の抜粋や要約など、本来表示されるべきでない情報が取得される可能性がある
- サイトの構成や設定に関する情報が漏洩する可能性がある
- 被害発生の条件
- 攻撃者はログイン不要で実行可能
- プラグインが有効化されているだけで影響を受ける
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 未認証ユーザーがアクセスできる処理の不備
- プラグイン内部の特定の処理が、ログインしていないユーザーからもアクセス可能になっていた
- 本来、管理者や認証済みユーザーのみが利用すべき機能だが、アクセス制限が適切に設定されていなかった
- 実行可能な処理の制限がない
- 処理の中で呼び出す関数を指定する際、安全な関数のみに限定するチェックが存在しなかった
- 攻撃者が指定した値により、WordPress内部の特定パターンの関数を実行できる状態だった
- 修正版では、安全な3つの処理のみに制限するチェックが追加された
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- プラグインを対策バージョン(2.0.13以降)に速やかに更新してください
- 被害確認
- WordPress管理画面から、不審なアクセスログや予期しない動作がないかを確認
- サーバーのアクセスログで、
advads_ad_selectへのリクエストに不審なパターンがないかチェック
- 追加のセキュリティ対策
- 使用していないプラグインは無効化・削除する
- プラグインは常に最新バージョンに保つ
⇒不審なアクセスが確認された場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
Advanced Ads 2.0.12 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-10487 
(公開日 2025年11月1日 更新日 2025年11月3日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.3 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-10487 悪用確率 0.35% (上位43%) 2026年1月13日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Advanced Ads プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
