JobMonsterテーマに深刻な認証バイパス脆弱性
脅威アクターが、JobMonster WordPressテーマの深刻な脆弱性を悪用しています。この脆弱性は、特定の条件下で管理者アカウントの乗っ取りを可能にするものです。WordPressセキュリティ企業であるWordfenceは、過去24時間で顧客に対する複数の悪用試行をブロックした後、この悪意ある活動を検出しました。
NooThemesによって作成されたJobMonsterは、求人情報サイト、採用ポータル、候補者検索ツールなどで使用されるプレミアムWordPressテーマであり、Envatoで5,500以上の販売実績があります。
悪用されている脆弱性はCVE-2025-5397として識別されており、CVSSスコアは9.8の「緊急」レベルです。これは、バージョン4.8.1までのテーマの全バージョンに影響を与える認証バイパスの問題です。
脆弱性の詳細と悪用条件
この脆弱性は、`check_login()`関数がユーザーの身元を適切に検証しないことに起因します。これにより、未認証の攻撃者が標準認証をバイパスし、管理者アカウントにアクセスすることが可能になります。
CVE-2025-5397を悪用するには、テーマを使用しているサイトでソーシャルログイン機能が有効になっている必要があります。ソーシャルログインは、「Googleでサインイン」や「Facebookでログイン」などの既存のソーシャルメディアアカウントを使用してウェブサイトにサインインできる機能です。JobMonsterは外部ログインデータを適切に検証せずに信頼するため、攻撃者は有効な認証情報を持たずに管理者アクセスを偽装できます。通常、攻撃者はターゲットとなる管理者のアカウントのユーザー名またはメールアドレスを知っている必要があります。
対策と推奨事項
CVE-2025-5397はJobMonsterバージョン4.8.2で修正されており、これが現在の最新バージョンです。したがって、ユーザーは直ちにパッチが適用されたリリースに移行することが強く推奨されます。
緊急の対応が不可能な場合は、影響を受けるウェブサイトでソーシャルログイン機能を無効にすることが緩和策として考えられます。また、以下のセキュリティ対策も推奨されます。
- すべての管理者アカウントで二要素認証を有効にする。
- 認証情報を定期的に変更する。
- 不審なアクティビティがないかアクセスログを監視する。
WordPressテーマを狙う攻撃の増加
最近、WordPressテーマは悪意のある活動の標的となることが増えています。先週、WordfenceはFreeioプレミアムテーマを標的とした悪意のある活動について報告しました。これは、深刻な特権昇格の脆弱性CVE-2025-11533を悪用するものです。10月初旬には、脅威アクターがService Finder WordPressテーマの深刻な認証バイパス問題CVE-2025-5947を標的とし、管理者としてログインすることを可能にしました。2025年7月には、ハッカーがWordPressテーマ「Alone」を標的としてリモートコード実行を達成し、サイト全体を乗っ取ったと報告されており、Wordfenceは当時120,000件以上の試行をブロックしました。
WordPressのプラグインとテーマは、最新のセキュリティ修正が適用されるよう定期的に更新する必要があります。パッチの適用を遅らせることは、攻撃者に悪用の機会を与え、時には1年後に攻撃が成功することもあります。