WordPressのページビルダープラグイン「Beaver Builder – WordPress Page Builder」のバージョン 2.9.4.1 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、Beaver Builderで作成された投稿を他の投稿内容で上書きできる状態でした。対策バージョン 2.9.4.2 以降への更新を推奨します。
想定される事象
影響範囲の注意点
この脆弱性はBeaver Builderで作成された投稿のみが対象です。通常のWordPress投稿エディタや他のページビルダーで作成された投稿は影響を受けません。
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 投稿内容の不正な上書き
- Beaver Builderで作成された投稿が、他の投稿の内容で上書きされる
- 元の投稿内容が失われる(バックアップやリビジョンがない場合は復元不可)
- 重要なページやコンテンツが無関係な内容に置き換えられる
- 非公開コンテンツの露出
- 非公開投稿やパスワード保護投稿の内容を取得できる
- その内容を公開投稿に上書きすることで、誰でも閲覧可能な状態にできる
- 本来公開されるべきでない情報が閲覧可能になる可能性
- 被害発生の条件
- サイトに登録済みの低権限ユーザー(購読者レベル以上)がいる
- Beaver Builderで作成された投稿が存在する
- 攻撃者が対象投稿のIDを特定できる
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 権限チェックの欠如
- WPML(多言語化プラグイン)連携機能でレイアウトを複製する際、投稿の所有者確認が実装されていなかった
- 本来は投稿の作成者のみが自分の投稿を複製できるべきだが、このチェックが存在しなかった
- 低権限ユーザーでも他のユーザーが作成した投稿を自分の投稿に複製(上書き)できてしまう状態でした
- リクエストの正当性確認が不適切
- 操作が正しいユーザーによるものか確認する「nonce(ノンス)」という安全確認用のコードが実装されていなかった
- そのため、外部から送信された不正なリクエストでも処理が実行されてしまう
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 速やかに、プラグインを対策バージョン(2.9.4.2以降)に更新してください
- 被害確認
- WordPress管理画面の「投稿」「固定ページ」メニューから、Beaver Builderで作成したページの内容を確認
- 意図しない内容に書き換えられたページがないかチェック
- リビジョン機能で過去の編集履歴を確認し、不審な更新がないか確認
- ユーザー権限の見直し
- WordPress管理画面の「ユーザー」メニューから、登録ユーザーを確認
- 不要なSubscriber(購読者)権限のユーザーがいないか確認
- 必要のないユーザーアカウントは削除を検討
- バックアップの確認
- 定期的なバックアップが取得されているか確認
- バックアップからの復元手順を確認
⇒サイトに異常が見られる場合や、投稿内容の改ざんが確認された場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
Beaver Builder – WordPress Page Builder 2.9.4.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-12934 
(公開日 2025年12月23日 更新日 2025年12月23日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-12934 悪用確率 0.03% (上位91%) 2026年1月4日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Beaver Builder プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
