WordPressのデモコンテンツをインポートするプラグイン「Blaze Demo Importer」のバージョン 1.0.13 までのすべてのバージョンに重大なセキュリティ脆弱性が確認されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル)でも、サイトの投稿・固定ページ・メディアファイルなどを削除できてしまいます。
現時点で対策バージョンは提供されていないため、プラグインの即時アンインストールを強く推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- サイトコンテンツの削除
- 投稿・固定ページの全削除
- メディアライブラリ内の全ファイル削除(uploadsフォルダ内)
- コメントの全削除
- カテゴリ・タグの全削除
- ウィジェット設定の全削除
- テーマカスタマイズ設定の全削除
- 被害発生の条件
- サイトに登録済みのユーザー(購読者レベル以上)がログイン中
- 攻撃者が特定のリクエストを送信する
- 影響を受けないデータ
- ユーザーアカウント情報
- WordPressの基本設定
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 権限チェックの欠如
- プラグインがデモインポート処理を開始する際、操作を実行するユーザーの権限を確認していない
- 本来は管理者権限が必要な操作だが、最も低い購読者権限でも実行できてしまう
- リクエストの正当性を示す「nonce」という仕組みは実装されているが、権限チェックが完全に欠落している
- 実装上の問題点
- バージョン1.0.13で一部の関数には権限チェックが追加されたが、最も危険なデータベースリセット機能を呼び出す関数は未修正のまま
- プラグイン開発者による部分的な修正により、完全な対策が行われていないと判断される
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインのアンインストール(最優先)
- 速やかに、Blaze Demo Importerプラグインをアンインストールしてください
- 現時点で対策バージョンは提供されていないため、使用を継続しないでください
- デモインポート機能が必要な場合は、代替プラグインの使用を検討してください
- 被害確認
- コンテンツの確認
- WordPress管理画面で投稿・固定ページ・メディアが予期せず消失していないか確認
- サイトの表示に問題がないか確認
- ログの確認(該当する場合)
- サーバーのアクセスログで、
wp-admin/admin-ajax.phpへのPOSTリクエストを確認 - リクエストパラメータに
action=blaze_demo_importer_install_demoとreset=trueを含むものがないか確認 - これらのリクエストが、意図しない時刻やユーザーから実行されていないか確認
- サーバーのアクセスログで、
- コンテンツの確認
- 復旧作業(被害が確認された場合)
- バックアップからサイトを復元
- バックアップがない場合は、WordPress専門家への相談を推奨
- 追加のセキュリティ対策
- 不要なユーザーアカウントの削除
- WordPress管理画面の「ユーザー」メニューから、不要な購読者アカウントがないか確認
- 必要のないユーザーは削除してください
- 信頼できないプラグインの使用を避ける
- 不要なユーザーアカウントの削除
⇒コンテンツの消失が確認された場合は、WordPressの専門家への相談をお勧めします。
影響を受けるバージョン
Blaze Demo Importer 1.0.0 から 1.0.13 までの全バージョン
脆弱性情報 (CVE-ID)
CVE-2025-13334 
(公開日 2025年12月12日 更新日 2025年12月12日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13334 悪用確率 0.05% (上位85%) 2026年1月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Blaze Demo Importer プラグインをご利用のお客様へは、「プラグインの無効化とアンインストール推奨」メールを順次ご案内しております。
WordPress プラグイン Blaze Demo Importer 情報
| 最新版 バージョン | 1.0.15 |
|---|---|
| 対象 WordPress バージョン | 5.3 またはそれ以降 検証済み最新バージョン : 6.9 |
| 有効インストール数 | 9,000+ |
| 関連 ページ |
プラグインページ
|
