WordPressプラグイン「Download Manager」に認証なしでアカウントが乗っ取られる脆弱性

WordPressでファイルのダウンロード管理を行うプラグイン「Download Manager」のバージョン 3.3.40 までの全てのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、攻撃者が認証なしでサイトに登録されているユーザー（管理者を除く）のパスワードを変更し、アカウントを乗っ取ることができます。対策バージョン 3.3.41 以降への更新を推奨します。

想定される被害

この脆弱性により、以下のような被害が想定されます。

ユーザーアカウントの乗っ取り
- 購読者、寄稿者、投稿者、編集者レベルのアカウントが対象
- 管理者（Administrator）アカウントは対象外
乗っ取られたアカウントを通じた被害
- 個人情報（氏名、メールアドレス等）の窃取
- 編集者アカウント：コンテンツの改ざんや削除
- 投稿者アカウント：不正な記事の投稿
- 顧客アカウント：不正注文、ポイントやクーポンの悪用
被害発生の条件
- 攻撃者が不正なリクエストを送信することで発生
- ユーザー側の操作は不要

技術的な詳細

この脆弱性は、以下の問題に起因します。

ユーザー本人確認の不備
1. パスワード変更処理を行う際に、本人からのリクエストかを適切に確認していなかった
2. WordPressの標準的なパスワードリセットキーによる検証が実装されていなかった
3. そのため、攻撃者が条件を満たすリクエストを送信すると、他人のパスワードを変更できてしまう
リクエストの正当性確認が不適切
- リクエストの正当性を確認する「nonce（ノンス）」の実装に不備があった
- ユーザーごとに異なるコードを使用すべきところ、共通のコードを使用していた

脆弱性の種類

CWE-353 完全性チェックの欠如

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

プラグインの更新
- 速やかに、プラグインを対策バージョン（3.3.41以降）に更新してください
被害確認
- WordPress管理画面の「ユーザー」メニューから、各ユーザーの最終ログイン日時を確認
- 心当たりのない時間帯のログインがないかチェック
- ユーザーから「ログインできない」という問い合わせがあった場合、パスワードが変更された可能性を考慮し、パスワードを再設定
追加のセキュリティ対策
- 二段階認証プラグインの導入を検討
- アクティビティログプラグインによる不正ログインの監視

⇒不審なログイン履歴が見られる場合は、WordPressの専門家などへの相談をお勧めします。

影響を受けるバージョン

Download Manager 3.3.40 までのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-15364
（公開日 2026年1月6日更新日 2026年1月6日）

脆弱性の深刻度 (CVSS v3)

基本値: 7.3 (重要) [Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-15364 悪用確率 0.03% （上位94%） 2026年1月7日時点

(今後30日以内に悪用される確率 )

参考

Download Manager <= 3.3.40 – Unauthenticated Limited Privilege Escalation via updatePassword

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字と技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

Download Manager プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン Download Manager 情報（2026年1月8日取得）

最新版バージョン	3.3.44
対象 WordPress バージョン	5.3 またはそれ以降検証済み最新バージョン : 6.9
有効インストール数	100,000+
関連ページ	プラグインページホームページ