WordPressプラグイン「PhastPress」に任意のファイル読み取りの脆弱性

WordPressのページ速度最適化プラグイン「PhastPress」のバージョン 3.7 までの全てのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、特別に細工されたリクエストを通じて、サーバー上の重要なファイルが読み取られる可能性があります。認証なしで攻撃が可能なため、対策バージョン 3.8 以降への更新を強く推奨します。

想定される事象

想定される被害

この脆弱性により、以下のような被害が想定されます。

重要ファイルの読み取り
- サーバー上の任意のファイルが読み取られる
- WordPressの設定ファイル(wp-config.php)が読み取られる可能性
- データベース接続情報やセキュリティキーなどの機密情報が漏洩する
二次被害の発生
- 漏洩した情報を利用してデータベースへ不正アクセスされる
- サイト全体への不正アクセスが行われる可能性
被害発生の条件
- 攻撃者による特別に細工されたリクエストがサイトに送信される
- ユーザーのログイン状態や操作は不要(認証なしで攻撃可能)

技術的な詳細

この脆弱性は、以下の問題に起因します。

ファイル拡張子の検証処理の不備
- リクエストされたファイルの拡張子を確認する処理に欠陥があった
- 特殊な文字列を含むリクエストにより、拡張子チェックをすり抜けて本来アクセスできないファイルが読み取れる状態だった
- 本来アクセスが許可されている画像ファイルなどの拡張子でチェックを通過させながら、実際には設定ファイルなどが読み込まれる仕組みが悪用された

脆弱性の種類

CWE-158 NULL バイトまたは NULL キャラクタの不適切な無害化

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

プラグインの更新(最優先)
- 緊急で、プラグインを対策バージョン(3.8以降)に更新してください
被害確認
- サーバーのアクセスログで、URLに「%2500」などの特殊な文字列を含む不審なアクセスがないか確認
- データベースへの不正アクセスや、予期しない管理者アカウントの追加がないか確認
- WordPress管理画面の「ユーザー」メニューから、身に覚えのない管理者権限を持つユーザーがいないかチェック
セキュリティキーの再生成(推奨)
- wp-config.phpが読み取られた可能性がある場合、WordPressのセキュリティキーを再生成することを推奨
- WordPress.org公式のセキュリティキー生成サービスで新しいキーを生成し、wp-config.phpを更新

⇒不審なアクセスが確認された場合や、セキュリティキーの再生成方法が不明な場合は、WordPressの専門家などへの相談をお勧めします。

影響を受けるバージョン

PhastPress 3.7 までのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-14388
（公開日 2025年12月23日更新日 2025年12月23日）

脆弱性の深刻度 (CVSS v3)

基本値: 9.8 (緊急) 　[Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-14388 悪用確率 0.07% （上位78%） 2026年1月4日時点

(今後30日以内に悪用される確率 )

参考　

PhastPress <= 3.7 – Unauthenticated Arbitrary File Read via Null Byte Injection

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字と技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

PhastPress プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン PhastPress 情報（2026年1月5日取得）

最新版バージョン	3.8
対象 WordPress バージョン	6.2 またはそれ以降検証済み最新バージョン : 6.8.3
有効インストール数	10,000+
関連ページ	プラグインページ