WordPressのポートフォリオ表示機能を提供するプラグイン「Premium Portfolio Features for Phlox theme(Auxin Portfolio)」のバージョン 2.3.10 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、攻撃者がサーバー上の任意のPHPファイルをコードとして実行できます。ログイン不要で悪用可能なため、対策バージョン 2.3.12 以降への緊急更新を強く推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- サーバー上の任意のPHPコード実行
- 攻撃者がサーバー内の任意の場所にあるPHPファイルを指定し、その中のPHPコードを実行できる
- 攻撃者が用意したPHPファイルをサーバーへアップロードが可能な場合、それを実行させることで情報窃取やサイト改ざんが可能になる
- 被害発生の条件
- ログインやユーザー登録は不要(インターネット経由で誰でも攻撃可能)
- プラグインが有効化されているだけで影響を受ける
技術的な詳細
この脆弱性は、以下の問題に起因します。
- ファイルパス検証の完全な欠如
- ポートフォリオのフィルター機能で使用するAjax処理において、PHPファイルを読み込む際のパス指定(
extra_template_pathパラメータ)に対する検証が一切行われていなかった - PHPの
include文で読み込まれるため、指定されたPHPファイルはコードとして実行される - 本来は特定のテンプレートディレクトリ内のみを対象とすべきだが、サーバー上の任意の場所を指定できてしまう
- パストラバーサル(
../../を使った上位ディレクトリへのアクセス)も制限されていなかった
- ポートフォリオのフィルター機能で使用するAjax処理において、PHPファイルを読み込む際のパス指定(
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 速やかに、プラグインを対策バージョン(2.3.12以降)に更新してください
- 被害確認
- Webサーバーのアクセスログで、以下のような不審なリクエストがないか確認
admin-ajax.phpへのPOSTリクエストでaction=aux_recent_portfolio_filter_contentを含むものextra_template_pathパラメータにuploadsや..(ドット2つ)が含まれるもの
- WordPress管理画面で、予期しないユーザーアカウントや管理者権限の追加がないかチェック
- サーバー上の
wp-content/uploadsディレクトリに、身に覚えのない.phpファイルがアップロードされていないか確認
- Webサーバーのアクセスログで、以下のような不審なリクエストがないか確認
- 追加のセキュリティ対策
- uploadsディレクトリへのPHPファイルアップロードを制限(ファイル種別のチェック強化)
- Webサーバーのエラーログも確認し、不審なファイル読み込みエラーがないかチェック
⇒不審なアクセスやファイルが確認された場合は、WordPressの専門家への相談をお勧めします。
影響を受けるバージョン
Premium Portfolio Features for Phlox theme 2.3.10 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-12497 
(公開日 2025年11月5日 更新日 2025年11月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-12497 悪用確率 0.13% (上位73%) 2025年11月18日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
File Manager for Google Drive プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
