TrustBrain

WordPressの静的HTMLエクスポートプラグイン「Export WP Page to Static HTML & PDF」のバージョン 4.3.4 までの全てのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、管理者がエクスポート機能を実行した際に作成される認証情報ファイルに、攻撃者が認証なしでアクセスし、管理者としてサイトにログインできる可能性があります。対策バージョン 5.0.0 以降への更新を推奨します。

想定される事象

想定される被害

この脆弱性により、以下のような被害が想定されます。

  • 管理者権限の不正取得
    1. 特定のファイルに保存された管理者のログイン情報(Cookie)が読み取られる
    2. 攻撃者が取得したCookieを使用して、管理者としてサイトにログインできる
    3. サイトの完全な制御を取得される
  • 被害発生の条件
    • 認証不要:攻撃者はログインする必要がなくファイルにアクセス可能
    • サイト管理者が管理者権限でエクスポート機能を実行したことがある
    • 認証情報を含むファイルがサーバー上に残っている

技術的な詳細

この脆弱性は、以下の問題に起因します。

  • 認証情報の不適切な保存
    • エクスポート機能実行時に、管理者のログイン情報(Cookie)がファイルに保存される
    • このファイルはWebブラウザから直接アクセス可能な場所に配置される
  • アクセス制限の不在
    • 認証情報ファイルに対するアクセス制限が実装されていない
    • 誰でもファイルのURLを知っていればアクセス可能

脆弱性の種類

CWE-200 認可されていない行為者への情報漏えい 

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

  1. プラグインの更新(最優先)
    • 緊急で、プラグインを対策バージョン(5.0.0以降)に更新してください
  2. 認証情報ファイルの削除
    • cookie.txtが存在する場合は、FTPまたはファイルマネージャーなどで削除してください
    • プラグイン更新後も、既存のファイルは自動削除されません
  3. 被害確認
    • サーバーのアクセスログで以下を確認
    • cookie.txtへのアクセス記録
    • 不審なIPアドレスからのアクセスがないか確認
    • WordPress管理画面の「ユーザー」メニューから、不審なユーザーアカウントがないか確認
    • 予期しない管理者権限を持つユーザーがいないかチェック
  4. セキュリティ対策の強化
    • すべての管理者アカウントのパスワードを変更
    • 現在ログイン中の全セッションを無効化(ログアウト)

⇒不審なアクセスログやユーザーアカウントが見られる場合は、WordPressの専門家やセキュリティベンダーへの相談をお勧めします。

影響を受けるバージョン

Export WP Page to Static HTML & PDF 4.3.4 までの全バージョン

脆弱性情報 (CVE-ID)

CVE-2025-11693
(公開日 2025年12月13日 更新日 2025年12月15日)

脆弱性の深刻度 (CVSS v3)

基本値: 9.8 (緊急)   [Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-11693 悪用確率 0.18% (上位60%) 2025年12月20日時点 

今後30日以内に悪用される確率 )

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

Copyright 2012-2024 Defiant Inc.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

Copyright 1999-2024 The MITRE Corporation

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

Export WP Page to Static HTML & PDF プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン Export WP Page to Static HTML & PDF 情報 (2025年12月21日 取得)

最新版 バージョン 5.0.0
対象 WordPress バージョン 4.1 またはそれ以降
検証済み最新バージョン : 6.8.3
有効インストール数 5,000+
関連 ページ プラグインページホームページ

CONTACT US

ご相談・お問い合わせ

月~金 10:00~17:00 受付

赤と青色で装飾された紙飛行機をイメージしたフォームへの誘導アイコン

問い合せフォムへ

さらに詳しく

2営業日以内に一次回答いたします