WordPressでサイト内の文字列を一括置換するプラグイン「Better Find and Replace」のバージョン 1.7.7 までに、セキュリティ脆弱性が発見されました。
サイトに登録済みの一般ユーザー(購読者レベル以上)が、本来は管理者専用の機能を不正に実行できる状態でした。対策版 1.7.8 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- サイト内容が書き換えられる
- 投稿や固定ページのタイトル・本文
- サイトの設定情報
- 投稿URL
- プラグインの設定
- 画像
技術的な詳細
ここの脆弱性は、外部からの操作を受け付ける機能(rtafar_ajax)の問題に起因します。
- 権限確認がない
- 操作を実行する前に、ユーザーが管理者かどうか確認していなかった
- そのため、一般ユーザーでも管理者専用の機能を実行できた
- 使える機能の制限がない
- 用できる機能を限定する仕組みがなかった
- ユーザーが指定した機能を何でも実行できる状態だった
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 速やかに、プラグインを対策バージョン(1.7.8以降)に更新してください
- 被害確認
- サーバーログで「rtafar_ajax」および「db_string_replace」を検索し、一般ユーザーによる不審なアクセスを確認
- 投稿・固定ページの内容に意図しない変更がないか確認
- WordPress管理画面「設定」→「一般」で、サイトURLなどの設定値を確認
- 追加対策
- 不要なユーザーアカウントを削除
- 「設定」→「一般」で不要な新規ユーザー登録を無効化
⇒不審な点がある場合は、WordPressの専門家への相談をお勧めします。
影響を受けるバージョン
Better Find and Replace 1.7.7 まで全てのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-9334 
(公開日 2025年11月8日 更新日 2025年11月10日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-9334 悪用確率 0.08% (上位81%) 2025年11月18日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Better Find and Replace プラグインをご利用のお客様へは、対策状況をメールでご案内しております。
