WordPressの無料ニュース向けテーマ「NewsBlogger」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 0.2.5.6 から 0.2.6.1 までです。
本脆弱性を悪用された場合、管理者の操作をきっかけとして、攻撃者が用意した不正なプラグインがサイトにインストール・有効化される可能性があります。これにより、サーバー上で不正なコードが実行されるおそれがあります。
本脆弱性には対策バージョンが提供されていないため、テーマの利用停止および代替テーマへの切り替えを推奨します。
脆弱性詳細
本脆弱性は、テーマに組み込まれたプラグインインストール機能において、操作の正当性を確認する仕組みが実装されていなかったことに起因します。
この機能は外部のURLからファイルをダウンロードしてプラグインとして設置するものですが、リクエストが管理者自身の意図的な操作であるかの検証が行われていなかったため、外部からの不正なリクエストでも処理が実行される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なプラグインの設置による影響
- 攻撃者が用意した不正なプラグインがサイトにインストール・有効化される
- 有効化されたプラグインのコードがサーバー上で実行されるため、サイトの改ざんや情報の漏洩、外部からの遠隔操作を可能にするバックドアの設置など、深刻な被害につながる可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 管理者がWordPressにログインした状態である
- 管理者が、攻撃者の用意したリンクをクリックする、または不正なページを閲覧する
特別な操作を行っていない場合でも、ログイン中に他のサイトを閲覧していれば影響を受ける可能性があります。
技術的な詳細
本脆弱性は、テーマに組み込まれたプラグインインストール機能において、リクエストが正当な操作によるものかを確認する仕組みが実装されていなかった点が原因です。
本来は「nonce(ノンス)」と呼ばれる安全確認用のコードを用いて、管理者自身の操作であることを検証する必要がありましたが、この検証処理が実装されていませんでした。
そのため、外部から用意された不正なリクエストであっても、ログイン中の管理者のブラウザを経由して送信された場合、以下の処理が実行される状態でした。
- 攻撃者が指定したURLからファイルがダウンロードされる
- そのファイルがプラグインディレクトリに展開される
- 展開されたプラグインが自動的に有効化される
なお、本脆弱性は過去に修正された同種の問題(CVE-2025-1305)の修正が巻き戻されたことにより再発したものとされています。
脆弱性の種類
推奨対応事項
本脆弱性には対策バージョンが提供されていません。以下の対応を強く推奨します。
- テーマの利用停止と代替テーマへの切り替え
- NewsBloggerテーマを無効化し、他のテーマに切り替えてください。テーマを無効化することで、脆弱性のある処理が実行されなくなります。
- 被害確認
- WordPress管理画面の「プラグイン」メニューより、
身に覚えのないプラグインがインストールされていないか確認してください。 - 不審なプラグインが確認された場合は、直ちに無効化・削除してください。
- サーバー上の
wp-content/plugins/ディレクトリに見慣れないフォルダやファイルが存在しないかも確認してください。
- WordPress管理画面の「プラグイン」メニューより、
- 今後の予防策
- 管理画面での作業終了後は、必ずログアウトする運用を徹底してください。
- ログイン状態のまま他のサイトを閲覧すると、本脆弱性を悪用されるリスクが高まります。
⇒不審なプラグインやファイルが確認された場合は、サーバーが侵害されている可能性があるため、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
NewsBlogger 0.2.5.6 から 0.2.6.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-12821 
(公開日 2026年2月19日 更新日 2026年2月19日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-12821 悪用確率 0.05% (上位83%) 2026年3月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
NewsBlogger テーマをご利用中のお客様には、テーマの利用停止に関するご案内および推奨対応事項について、順次メールにてご案内しております。
