WordPressプラグインに深刻な脆弱性発覚:10万以上のサイトが管理者権限乗っ取りの危機
WordPressの「Advanced Custom Fields: Extended」プラグインに深刻な権限昇格の脆弱性(CVE-2025-14533)が発見され、10万を超えるアクティブインストールが危険に晒されています。CVSSスコア9.8(緊急)と評価されるこの脆弱性は、設定が不適切なユーザー登録フォームを悪用することで、認証されていない攻撃者が管理者権限を取得できるというものです。
この脆弱性は、広く利用されている「Advanced Custom Fields」スイートのアドオンである「Advanced Custom Fields: Extended」プラグインが、「insert_user」フォームアクション機能におけるロール制限を適切に適用しないことに起因します。フォームにマッピングされたロールフィールドが含まれている場合、攻撃者はユーザー登録時に任意で自身に「管理者」ロールを割り当てることができ、本来のアクセス制御が完全に迂回されてしまいます。
この脆弱性は、バージョン0.9.2.1までの全てのバージョンに影響し、パッチはバージョン0.9.2.2で提供されています。セキュリティ研究者のAndrea Bocchetti氏がWordfenceのバグバウンティプログラムを通じてこの脆弱性を発見し、責任ある開示に対して975ドルの報奨金を獲得しました。
脆弱性の詳細
この脆弱性の主な詳細は以下の通りです。
- CVE ID: CVE-2025-14533
- CVSS評価: 9.8 (緊急)
- 影響を受けるバージョン: 0.9.2.1以下
- パッチ適用済みバージョン: 0.9.2.2
- 報奨金: $975.00
研究者によると、このプラグインはフィールドグループレベルで「ユーザーロールを許可」という制限設定を提供しているにもかかわらず、フォーム送信処理時にはこの制限が完全に無視されることが判明しました。これにより、意図された機能と実際の機能との間に危険な矛盾が生じていました。
攻撃の範囲と潜在的影響
この脆弱性は、「ユーザー作成」または「ユーザー更新」フォームアクションをロールフィールドと共にデプロイしているWordPressサイトの所有者に深刻な影響を与えます。攻撃者が管理者権限を一度取得すると、悪意のあるプラグインやテーマのアップロードによる任意のコード実行、ページへのスパムコンテンツの注入、フィッシングサイトへの訪問者のリダイレクト、または長期的な侵害のための永続的なバックドアの確立など、様々な悪質な行為を実行できてしまいます。この攻撃には認証が一切不要であるため、脅威アクターにとって悪用は非常に容易です。
推奨される対策とタイムライン
Wordfenceは2025年12月11日にこの調査結果をACF Extended開発チームに開示し、ベンダーは迅速に対応し、2025年12月14日にパッチ適用済みバージョンをリリースしました。Wordfenceのプレミアムユーザーは12月11日にファイアウォール保護を受け、無料ユーザーは標準の30日間の保護遅延の後、2026年1月10日に同じ保護措置が適用されました。
サイト管理者は、「Advanced Custom Fields: Extended」をバージョン0.9.2.2以降に直ちにアップデートする必要があります。アクティブなユーザー登録フォームを持つ影響を受けるバージョンを使用している組織は、侵害のリスクが高まっているため、特に注意が必要です。Wordfenceの脆弱性管理ポータルは引き続き悪用試行を監視しており、現在のセキュリティツールを使用していない組織は、脅威アクターが自動化された悪用フレームワークを開発する前に、アップデートを優先するべきです。
元記事: https://gbhackers.com/wordpress-plugin-vulnerability-5/