WordPressセキュリティプラグインに脆弱性、購読者の個人情報漏洩の恐れ
WordPress向けの人気セキュリティプラグイン「Anti-Malware Security and Brute-Force Firewall」に、購読者レベルの権限を持つユーザーがサーバー上の任意のファイルを読み取れる脆弱性(CVE-2025-11705)が発見されました。このプラグインは10万以上のサイトにインストールされており、多くのWordPressサイトが個人情報漏洩のリスクに晒されています。
脆弱性の詳細と影響
この脆弱性は、Wordfenceの研究者Dmitrii Ignatyev氏によって報告されました。影響を受けるのはプラグインのバージョン4.23.81およびそれ以前です。問題は、AJAXリクエストを処理するGOTMLS_ajax_scan()関数における権限チェックの欠如に起因します。攻撃者は、この関数を呼び出すために必要なnonce(ワンタイムトークン)を取得し、低権限のユーザーであってもサーバー上の任意のファイルを読み取ることが可能になります。
これにより、データベース名や認証情報が格納されているwp-config.phpファイルを含む、機密性の高い情報が漏洩する可能性があります。データベースへのアクセスを許してしまうと、攻撃者はパスワードハッシュ、ユーザーのメールアドレス、投稿内容、その他の個人データ(および安全な認証のためのキーやソルト)を抽出できてしまいます。
認証済みユーザーによるファイル読み取りの危険性
この脆弱性の深刻度は、悪用には認証が必要であるため「クリティカル」とは見なされていません。しかし、多くのウェブサイトでは、コメント機能やその他のサイトセクションへのアクセスを増やすために、ユーザーが購読やメンバーシップ登録を許可しています。このような会員制サイトや購読サービスを提供するサイトは、CVE-2025-11705を悪用した攻撃に対して脆弱であると言えます。
迅速な対応と推奨される対策
Wordfenceは10月14日にWordPress.orgセキュリティチームを通じて、この問題をベンダーのEli氏に報告し、検証済みの概念実証エクスプロイトも提供しました。これを受け、開発者は10月15日にバージョン4.23.83をリリースし、新しいGOTMLS_kill_invalid_user()関数を介して適切なユーザー権限チェックを追加することで脆弱性に対処しました。
WordPress.orgの統計によると、リリース以降、約5万のウェブサイト管理者が最新バージョンをダウンロードしていますが、同数のサイトがいまだに脆弱なバージョンを実行していることを示しています。現時点では、この脆弱性が実際に悪用された兆候は確認されていませんが、問題が公にされたことで攻撃者の注意を引く可能性があるため、速やかにプラグインを最新バージョンにアップデートすることが強く推奨されます。