WordPressのページ速度最適化プラグイン「10Web Booster – Website speed optimization, Cache & Page Speed optimizer」のバージョン 2.32.7 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、不正なリクエストを通じてサーバー上の任意のフォルダやファイルが削除される可能性があります。対策バージョン 2.32.11 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 任意のフォルダ・ファイルの削除
- サーバー上の任意のフォルダやファイルが削除される
- WordPressの設定ファイル(wp-config.php)や重要なプラグインファイルが削除される可能性
- 削除されたファイルによっては、サイトが正常に機能しなくなる
- 被害発生の条件
- キャッシュクリア機能に対して不正な形式のリクエストが送信される
- 修正前のバージョンでは、本来必要な権限チェックが実装されていなかった
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 権限チェックの欠如
- キャッシュクリア機能を実行する際に、ユーザーが適切な権限を持っているかの確認がされていなかった
- 本来は管理者権限(manage_options)を持つユーザーのみが実行できるべき操作だったが、この確認が実装されていなかった
- リクエストの正当性確認が不適切
- 操作が正しいユーザーによるものか確認する「nonce(ノンス)」の実装に不備があった
- そのため、外部から送信された不正なリクエストでも処理が実行されてしまう状態だった
- ファイルパスの検証不足
- 削除対象のフォルダパスに対する検証が不十分だった
- 特殊な文字列(ディレクトリトラバーサル)を含むパスを適切に拒否していなかった
- 本来保護されるべきキャッシュフォルダ以外のフォルダも削除対象になる可能性があった
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 緊急で、プラグインを対策バージョン(2.32.11以降)に更新してください
- 被害確認
- サイトが正常に動作しているか確認
- WordPress管理画面にログインできるか確認
- サイトのページが正常に表示されるか確認
- FTPまたはファイルマネージャーで、重要なファイル(wp-config.php、.htaccess)が存在するか確認
- 予期しないファイルの欠損が確認された場合、バックアップからの復元を検討
- バックアップの確認
- 定期的なバックアップが取得されているか確認
- バックアップからの復元手順を確認
⇒サイトに異常が見られる場合や、ファイルの欠損が確認された場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
10Web Booster – Website speed optimization, Cache & Page Speed optimizer 2.32.7 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-13377 
(公開日 2025年12月6日 更新日 2025年12月8日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.6 (深刻) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13377 悪用確率 0.05% (上位86%) 2026年1月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
10Web Booster プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
