WordPressのバックアップおよび復元機能を提供するプラグイン「BackWPup – WordPress Backup & Restore Plugin」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.6.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、プラグインの操作権限を持つユーザーによって、WordPress全体のサイト設定が不正に変更される可能性があります。これにより、管理者権限の不正取得につながるおそれがあります。
対策として、バージョン 5.6.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインの設定を保存するための処理において、更新対象の設定項目がプラグイン自身のものであるかを検証していなかったことに起因します。
その結果、本来はプラグインの設定のみを変更できるべき機能を通じて、WordPressサイト全体に関わる重要な設定(ユーザー登録の可否や初期権限など)まで書き換えが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
※悪用にはBackWPupプラグインの操作権限を持つアカウントが必要です。
サイト設定の改ざんと権限昇格
- WordPressの新規ユーザー登録機能が不正に有効化され、さらに新規登録時の初期権限が管理者に変更される可能性
- これにより、攻撃者が管理者権限を持つアカウントを新規作成し、管理画面の不正操作やサイト全体への影響につながるおそれ
被害発生の条件
以下の条件がそろった場合に、被害が発生する可能性があります。
- BackWPupプラグインの操作権限(プラグインが独自に設定する「BackWPup Helper」以上の役割)を持つユーザーアカウントが存在する
- 当該ユーザーが悪意を持って操作する、またはそのアカウントが第三者に悪用される
管理者の操作やリンクのクリックは不要で、該当権限を持つユーザーが直接APIを呼び出すことで攻撃が成立します。
技術的な詳細
本脆弱性は、プラグインが提供するREST APIエンドポイント(サイトオプション保存機能)において、以下の2点が欠落していたことが原因です。
(1)更新対象のオプション名に対する制限の欠如
リクエストで指定された設定項目名がプラグイン固有のもの(「backwpup」で始まる名前)であるかを確認せずに、WordPressのサイト設定更新処理にそのまま渡していました。これにより、WordPress全体の任意のサイトオプションを上書きできる状態でした。
(2)権限チェックの粒度不足
本来、サイトオプションの変更には「設定編集」相当の権限が必要ですが、プラグインの基本操作権限のみで実行可能でした。
対策版(5.6.3)では、オプション名が「backwpup」で始まることの検証、重要な内部オプション(ジョブ定義やバージョン情報など)の変更禁止、および権限チェックのより厳密な分離が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.6.3 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「設定 → 一般」より、「メンバーシップ(だれでもユーザー登録ができるようにする)」が意図せず有効になっていないか確認してください。
- 同画面の「新規ユーザーのデフォルト権限グループ」が「管理者」に変更されていないか確認してください。
- 「ユーザー」メニューより、身に覚えのない管理者アカウントが作成されていないか確認してください。
- 不審なユーザーが確認された場合は、該当アカウントの削除とパスワードの変更を行ってください。
- 今後の予防策
- BackWPupプラグインが付与する独自の役割(BackWPup Helper等)は、信頼できるユーザーにのみ割り当てるようにしてください。
- プラグインの更新情報を定期的に確認し、セキュリティアップデートが公開された際は速やかに適用してください。
⇒不審なユーザーアカウントや設定変更が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
BackWPup – WordPress Backup & Restore Plugin 5.6.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-15041 
(公開日 2026年2月19日 更新日 2026年2月19日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-15041 悪用確率 0.03% (上位90%) 2026年2月19日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
BackWPup プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
