2025年7月31日Ravie Lakshmanan脆弱性 / ウェブサイトセキュリティ
攻撃者は、「Alone – Charity Multipurpose Non-profit WordPress Theme」に存在する重大なセキュリティ脆弱性を積極的に悪用し、脆弱なサイトを乗っ取っています。
この脆弱性はCVE-2025-5394として追跡されており、CVSSスコアは9.8です。セキュリティ研究者のThái An氏がこのバグの発見と報告の功績を認められています。
Wordfenceによると、この問題は任意ファイルアップロードの脆弱性であり、7.8.3以前のすべてのプラグインバージョンに影響します。2025年6月16日にリリースされたバージョン7.8.5で修正されています。
CVE-2025-5394は、「alone_import_pack_install_plugin()」というプラグインインストール機能に起因し、権限チェックが欠落しているため、認証されていないユーザーがAJAX経由でリモートソースから任意のプラグインを導入し、コード実行を達成できてしまいます。
「この脆弱性により、認証されていない攻撃者が脆弱なサイトに任意のファイルをアップロードし、リモートコード実行を実現できます。これは通常、サイトの完全な乗っ取りに利用されます」とWordfenceのIstván Márton氏が述べています。
証拠によると、CVE-2025-5394は7月12日から悪用が始まっており、これは脆弱性が公表される2日前でした。これは、攻撃キャンペーンの背後にいる脅威アクターが新たに修正された脆弱性のコード変更を積極的に監視していた可能性を示しています。
同社によれば、すでにこの脆弱性を狙った12万900件の攻撃試行をブロックしたとのことです。攻撃は以下のIPアドレスから発生しています:
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
- 2a0b:4141:820:752::2
観測された攻撃では、この脆弱性を利用して「wp-classic-editor.zip」や「background-image-cropper.zip」といったZIPアーカイブをアップロードし、その中に含まれるPHPベースのバックドアでリモートコマンドの実行や追加ファイルのアップロードが行われています。また、完全な機能を持つファイルマネージャや、不正な管理者アカウントを作成できるバックドアも配布されています。
潜在的な脅威を軽減するため、当該テーマを利用しているWordPressサイトの管理者は、最新のアップデートを適用し、不審な管理者ユーザーがいないか確認し、「/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin」へのリクエストがないかログをスキャンすることが推奨されています。
翻訳元: https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html