セキュリティ

SECURITY

公開：2025-01-29

【CVE-2025-0428】WordPress用プラグインAI Power: Complete AI Packにデシリアライズの脆弱性が発見、管理者権限で悪用の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AI Power: Complete AI Packにセキュリティの脆弱性が発見
• 管理者権限でPHPオブジェクトインジェクションの脆弱性
• バージョン1.8.96以下が影響を受ける状態

AI Power: Complete AI Pack 1.8.96の脆弱性の詳細

WordFenceは2025年1月22日、WordPressプラグイン「AI Power: Complete AI Pack」のバージョン1.8.96以下にPHPオブジェクトインジェクションの脆弱性が存在することを公開した。wpaicg_export_prompts関数において$form['post_content']変数を介して信頼できない入力のデシリアライズが可能になっており、管理者権限を持つ攻撃者がPHPオブジェクトを注入できる状態となっている。^[1]

この脆弱性は【CVE-2025-0428】として識別されており、CWEによる脆弱性タイプは信頼できないデータのデシリアライズ（CWE-502）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権レベルは高いと評価されており、CVSSスコアは7.2と高い深刻度となっている。

脆弱なプラグイン自体にはPOPチェーンは存在しないものの、追加のプラグインやテーマを介してPOPチェーンが存在する場合、攻撃者は任意のファイルの削除や機密データの取得、コードの実行が可能になる可能性がある。脆弱性の発見者はTran Anh Ducで、WordFenceの脅威インテリジェンスチームが詳細な分析を行っている。

AI Power: Complete AI Pack 1.8.96の脆弱性まとめ

PHPオブジェクトインジェクションについて

PHPオブジェクトインジェクションとは、信頼できない入力データをデシリアライズする際に発生する脆弱性の一種であり、主な特徴として以下のような点が挙げられる。

• シリアライズされたデータを安全性の検証なしに処理
• 攻撃者が任意のPHPオブジェクトを注入可能
• POPチェーンを介して深刻な被害を引き起こす可能性

AI Power: Complete AI Packの脆弱性では、wpaicg_export_prompts関数内で$form['post_content']変数のデシリアライズが安全でない方法で行われている。この脆弱性は管理者権限を持つ攻撃者によって悪用される可能性があり、追加のプラグインやテーマを介してPOPチェーンが存在する場合、任意のファイルの削除やデータの取得、コードの実行などの深刻な被害をもたらす可能性がある。

AI Power: Complete AI Packの脆弱性に関する考察

AI Power: Complete AI Packの脆弱性は、WordPressプラグインの開発においてセキュリティ設計の重要性を改めて浮き彫りにした。特にデシリアライズ処理における入力データの検証不足は、たとえ管理者権限が必要であっても深刻な脆弱性につながる可能性があり、開発者はセキュアコーディングの原則に従った実装を心がける必要がある。

今後の課題として、プラグイン間の依存関係による脆弱性の連鎖が挙げられる。WordPressの柔軟な拡張性は利点である一方、他のプラグインやテーマを介したPOPチェーンの存在により、単一のプラグインの脆弱性が予期せぬ被害を引き起こす可能性がある。開発者コミュニティ全体でセキュリティ意識を高め、コードレビューやセキュリティテストの強化が求められる。

また、今後の機能追加においては、シリアライズデータの処理に関するセキュリティガイドラインの整備や、脆弱性スキャンツールの導入が望まれる。WordPressエコシステム全体の安全性向上のため、プラグイン開発者向けのセキュリティトレーニングやベストプラクティスの共有も重要な施策となるだろう。

参考サイト

1. ^ CVE. 「CVE-2025-0428 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-0428, (参照 25-01-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧