WordPress向けのAnti-Malware Security and Brute-Force Firewallプラグイン（10万以上のサイトにインストール済み）に、サブスクライバーがサーバー上の任意のファイルを読み取れる脆弱性があり、個人情報が漏洩する可能性があります。

このプラグインは、マルウェアのスキャンやブルートフォース攻撃、既知のプラグインの脆弱性悪用、データベースインジェクション攻撃からの保護を提供します。

CVE-2025-11705として特定されたこの脆弱性は、研究者Dmitrii IgnatyevによってWordfenceに報告されており、プラグインのバージョン4.23.81以前に影響します。

この問題は、攻撃者が取得可能なnonceを使ってAJAXリクエストを処理するGOTMLS_ajax_scan()関数で、権限チェックが欠落していることに起因します。

この見落としにより、関数を呼び出せる低権限ユーザーが、サーバー上の任意のファイル（データベース名や認証情報を保存するwp-config.phpなどの機密データを含む）を読み取ることが可能になります。

データベースへアクセスできれば、攻撃者はパスワードハッシュやユーザーのメールアドレス、投稿、その他の個人データ（および安全な認証に使われるキーやソルト）を抽出できます。

この脆弱性は、悪用に認証が必要なため重大とは見なされていませんが、多くのウェブサイトはユーザーにコメントなど様々なセクションへのアクセス権を与えるためにサブスクリプションを許可しています。

アカウント作成が可能な会員制やサブスクリプションを提供するサイトは、この要件を満たし、CVE-2025-11705を悪用した攻撃に対して脆弱です。

Wordfenceは、実証済みのエクスプロイトコードとともに、この問題をベンダーのEliに対し、WordPress.orgセキュリティチームを通じて10月14日に報告しました。

10月15日、開発者は新しい‘GOTMLS_kill_invalid_user()’関数による適切なユーザー権限チェックを追加し、CVE-2025-11705に対応したバージョン4.23.83をリリースしました。

WordPress.orgの統計によると、リリース以降、約5万のウェブサイト管理者が最新版をダウンロードしており、同数のサイトが脆弱なバージョンを使用していることを示しています。

現在、Wordfenceは実際の悪用の兆候を検出していませんが、問題の公表により攻撃者の注目を集める可能性があるため、パッチの適用が強く推奨されます。