脅威アクターが、Service Finder WordPressテーマに存在する重大な脆弱性を積極的に悪用しており、認証をバイパスして管理者としてログインできるようになっています。
WordPressの管理者権限は、コンテンツや設定の完全な制御、アカウントの作成、PHPファイルのアップロード、データベースのエクスポートなどの権限を付与します。
Service Finderは、サービスディレクトリや求人掲示板向けに設計されたプレミアムWordPressテーマです。顧客の予約、フィードバック、時間枠管理、スタッフ管理、請求書発行、決済システムなどをサポートしています。
このテーマはEnvato Marketで6,000件以上の販売実績があり、ほとんどのプレミアムプラグインと同様に、主にアクティブなサイトで利用されています。
最近の攻撃で悪用されている脆弱性はCVE-2025-5947として追跡されており、重大度スコアは9.8です。Service Finderバージョン6.0以前が影響を受けており、service_finder_switch_back()関数内のoriginal_user_id cookieの不適切な検証が原因です。
CVE-2025-5947を悪用する攻撃者は、認証なしで管理者を含む任意のユーザーとしてログインできます。
この問題はセキュリティ研究者の‘Foxyyy’氏によって発見され、6月8日にWordfenceのバグ報奨金プログラムを通じて報告されました。
テーマのベンダーであるAonethemeは、7月17日にリリースされたバージョン6.1でこのセキュリティ問題に対応しました。月末には問題が公開され、翌日から悪用が始まりました。
9月23日以降約1週間、Wordfenceは毎日1,500件以上の攻撃試行の急増を観測しました。全体では13,800件以上の悪用試行が確認されています。
出典: Wordfence
Wordfenceの観測によると、典型的な攻撃は、既存ユーザーになりすますためにクエリパラメータ(switch_back=1)を付与したHTTP GETリクエストをルートパスに送信する形で行われます。
研究者によれば、攻撃の発信元となるIPアドレスはいくつかありますが、数千件の攻撃リクエストの大半は以下の5つのIPアドレスから発信されています:
- 5.189.221.98
- 185.109.21.157
- 192.121.16.196
- 194.68.32.71
- 178.125.204.198
これらの攻撃への防御策の一つとして、上記IPアドレスのブロックリスト化が挙げられます。ただし、攻撃者は新しいIPアドレスに切り替える可能性がある点に注意が必要です。
研究者によると、「switch_back」パラメータを含むリクエスト以外に、これらの攻撃を阻止する明確な侵害指標は存在しません。
ウェブサイト管理者は、脅威アクターが永続化のために作成した可能性のある不審なアクティビティやアカウントについて、すべてのログを確認するべきです。
Wordfenceは「このようなログエントリが存在しない場合でも、ウェブサイトが侵害されていないことを保証するものではありません」と警告しています。なぜなら、管理者権限を得た攻撃者は、ログやその他の証拠を削除して痕跡を隠すことができるためです。
CVE-2025-5947が現在も積極的に悪用されていることを踏まえ、Service Finderテーマの利用者はできるだけ早くセキュリティアップデートを適用するか、プラグインの使用を中止することが推奨されます。
