セキュリティ

SECURITY

公開：2025-01-29

【CVE-2025-0429】AI Power: Complete AI Packに深刻な脆弱性、管理者権限で悪用の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AI Power: Complete AI Packにセキュリティ脆弱性が発見
• 管理者権限で任意のPHPオブジェクトを注入可能
• バージョン1.8.96以前に深刻な影響の恐れ

WordPressプラグインAI Power: Complete AI Packの脆弱性

WordPressプラグイン「AI Power: Complete AI Pack」において、バージョン1.8.96以前に重大な脆弱性が2025年1月22日に確認された。この脆弱性は管理者権限を持つユーザーが、wpaicg_export_ai_forms()関数を通じて$form['post_content']変数から信頼できない入力のデシリアライズが可能になるという問題を抱えている。^[1]

脆弱性はCVSS 3.1で評価され、深刻度は7.2のHighレベルと判定されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。脆弱性の影響範囲は限定的であるものの、追加のプラグインやテーマが存在する場合、任意のファイル削除や機密データの取得、コード実行などのリスクが発生する可能性がある。

この脆弱性は【CVE-2025-0429】として識別され、CWEによる脆弱性タイプは信頼できないデータのデシリアライズ（CWE-502）に分類されている。WordFenceによって発見され報告されたこの脆弱性は、現在パッチ提供による対応が進められており、ユーザーには最新バージョンへのアップデートが推奨されている。

AI Power: Complete AI Packの脆弱性詳細

PHPオブジェクトインジェクションについて

PHPオブジェクトインジェクションとは、アプリケーションがユーザー入力から直接PHPオブジェクトを復元する際に発生する脆弱性の一種を指す。主な特徴として、以下のような点が挙げられる。

• serialize/unserialize関数の不適切な使用により発生
• 信頼できない入力データの検証が不十分な場合に悪用される
• マジックメソッドを通じた任意のコード実行が可能になる

PHPオブジェクトインジェクション攻撃は、WordPressなどのCMSプラグインにおいて特に深刻な影響をもたらす可能性がある。AI Power: Complete AI Packの脆弱性では、管理者権限を持つ攻撃者が$form['post_content']変数を通じてPHPオブジェクトを注入し、システム内の重要な機能を不正に操作する可能性が指摘されている。

AI Power: Complete AI Packの脆弱性に関する考察

AI Power: Complete AI Packの脆弱性が管理者権限を持つユーザーに限定されている点は、攻撃の実行難度を高める要因となっている。しかしながら、WordPressの運用において複数の管理者が存在するケースも多く、内部からの攻撃リスクは決して軽視できないものとなっている。

この脆弱性の特徴として、単体では深刻な被害をもたらす可能性は低いものの、他のプラグインやテーマと組み合わさることで重大な影響を及ぼす可能性がある点が挙げられる。WordPressサイトの多くは複数のプラグインを併用しており、POPチェーンを形成する可能性のある組み合わせを事前に特定することは困難を極めるだろう。

今後はプラグイン開発者向けのセキュリティガイドラインの整備や、プラグイン間の相互作用を考慮したセキュリティテストの実施が求められる。特にAI関連プラグインは今後も増加が予想されることから、包括的なセキュリティ対策の確立が不可欠となるはずだ。

参考サイト

1. ^ CVE. 「CVE-2025-0429 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-0429, (参照 25-01-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧