TokyoBlackHatNews

darkreading.com 4分で読了

重大なサイト乗っ取りの脆弱性が40万のWordPressサイトに影響

青と白のWordPressホームページがデバイスの画面に表示されている様子

出典: Primakov via Shutterstock

脅威アクターは、40万件以上ダウンロードされているWordPressプラグインに見つかった欠陥を標的にしており、この欠陥によりアカウントおよびウェブサイトの乗っ取りが可能になる。研究者らは、近く本格的な攻撃のさらなる増加が始まると警告している。 

Wordfenceは、バグ報奨金プログラムを通じて10月11日にWordPressプラグイン「Post SMTP」の欠陥に関する報告を受けたと、同社は今週公開されたブログ投稿の中で述べている。その数週間後の11月1日、攻撃者はこの脆弱性を標的にし始め、WordPressアカウントおよびウェブサイトを乗っ取ることが可能になった。これまでに、Wordfenceのセキュリティ保護によって4,500件以上の攻撃がすでにブロックされている。

この重大な欠陥はCVE-2025-11833として追跡されており、CVSSスコアは9.8と評価されている。Wordfenceのアドバイザリによると、バージョン3.6.0まで(3.6.0を含む)のすべてのバージョンにおいて、__construct関数に権限チェックが欠如しているため、データへの不正アクセスが可能になっている。

「この脆弱性により、認証されていない脅威アクターが、管理者を含む任意のユーザーのパスワードをリセットすることで、簡単にウェブサイトを乗っ取ることが可能になります」と、Wordfenceの研究者István Márton氏は投稿の中で記している。 

発見、開示、そして修正

Post SMTPは、デフォルトのPHP mail関数をSMTPメーラーに置き換えるとともに、メールログ機能やその他の機能を提供するためのWordPressプラグインである。Wordfenceは、この脆弱性の発見の功績を「netranger」と名乗るユーザーに帰しており、同ユーザーは欠陥が導入された翌日にバグ報奨金プログラムへ報告し、その投稿に対して7,800ドルを獲得した。

WordfenceがPost SMTPの開発チームに欠陥を報告した後、開発チームはこの欠陥に対処したプラグインの更新版3.6.1を10月29日にリリースした。Wordfenceは、このプラグインを自サイトで使用しているすべてのユーザーに対し、侵害を回避するため、直ちにアップデートするよう強く促している。同社のデータによれば、すでに攻撃が始まっているだけでなく、「今後数日以内に大規模なキャンペーンが開始される可能性が高い」とMárton氏は記している。

「この脆弱性が極めて重大であることを踏まえ、WordPressユーザーには、可能な限り早急に、自身のサイトが最新の修正版Post SMTPにアップデートされているか確認するよう強く推奨します」と同氏は警告している。

プラグインの欠陥が存在する理由

Márton氏によると、脆弱なプラグインのコードを調査したところ、ログに記録されたメールメッセージを表示するために使用されるPostmanEmailLogsクラスのコンストラクタに問題があることが判明した。「最も重大な問題であり脆弱性の原因となっているのは、この関数に権限チェックが一切存在しないという点です」と同氏は記している。 

この状況により、認証されていない攻撃者が、パスワードリセットメールを含む任意のログ済みメールを閲覧できるようになる。攻撃者はこれを利用してサイト管理者のパスワードリセットをトリガーできる。その後、ログデータからパスワードリセットメールを取得し、このキーへのアクセスを得た時点でパスワードをリセットし、アカウントにログインして、サイト全体の完全な侵害を達成できると、Márton氏は説明している。

そこから攻撃者は、通常の管理者と同様に、標的サイト上のあらゆるものを操作できる。これには、プラグインやテーマファイルのアップロードが含まれ、バックドアを含む悪意あるファイルのインストールや、投稿・ページの改変を通じて訪問者を別の悪意あるサイトへリダイレクトすることも可能になる。

CVE-2025-11833">CVE-2025-11833に対するさらなる緩和策と防御

WordPressプラットフォームとそのプラグインは、数百万のウェブサイトの基盤として広く利用されていることから、特に脅威アクターにとって人気の標的となっており、広大な攻撃面への容易なアクセスを与えている。 

攻撃者は特に、インストール数の多いプラグインを悪用することを好む。そのため、彼らはPost SMTPの欠陥を素早く悪用し始めており、今後も継続するとみられる。また、サイトを容易に侵害できるこの能力は、インストールベースにとって重大な脅威であり、脅威アクターにクライアントサイドのプラットフォームを提供して、他の悪意ある活動を行う足掛かりとなる。

Wordfenceはすでに、CVE-2025-11833の悪用をブロックするファイアウォールルールを、Premium、Wordfence Care、Wordfence Responseのユーザー向けに提供している。無料版のWordfenceを利用しているサイトは、11月14日に同じ保護を受けられるようになる。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/critical-site-takeover-flaw-400k-wordpress-sites

ソース: darkreading.com
#CMSプラットフォーム攻撃 #CVE-2025-11833 #Facebookアカウント乗っ取り #Post SMTPプラグイン #Wordfence #WordPressセキュリティ #ウェブサイト改ざん #プラグイン脆弱性 #メールログ情報漏えい #緊急アップデート

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開