セキュリティ

SECURITY

公開：2025-02-14

【CVE-2025-25160】WordPress用プラグインStyle Tweaker 0.11以前にCSRFとXSS脆弱性が発見、早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Style Tweaker 0.11以前にCSRFによるストアドXSS脆弱性
• 脆弱性はCVE-2025-25160として識別
• CVSSスコア7.1のHigh深刻度に分類

WordPress用プラグインStyle Tweaker 0.11のCSRFとXSS脆弱性

Patchstack OÜ社は2025年2月7日、WordPress用プラグインStyle Tweakerにおいて、クロスサイトリクエストフォージェリ（CSRF）を介したストアドXSSの脆弱性を発見したことを公開した。この脆弱性はStyle Tweakerのバージョン0.11以前に影響を及ぼすことが確認されている。^[1]

この脆弱性はCVE-2025-25160として識別されており、CVSSスコアは7.1でHigh（高）に分類されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされており、特権は不要だが利用者の関与が必要とされる。また、スコープへの影響が変更される可能性があるのだ。

脆弱性はPatchstack AllianceのAbdi Pranata氏によって発見され、報告された。Mark Barnes氏が開発したStyle Tweakerは、現在この脆弱性への対応を進めており、ユーザーには最新版への更新が推奨される。

Style Tweaker 0.11の脆弱性詳細

クロスサイトリクエストフォージェリについて

クロスサイトリクエストフォージェリ（CSRF）とは、Webアプリケーションに対する攻撃手法の一つで、ユーザーの意図しないリクエストを強制的に実行させる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 認証済みユーザーの権限を悪用した不正な操作が可能
• ユーザーが意図しないリクエストを強制的に実行
• 重要な操作や情報の改ざんにつながる可能性

Style Tweaker 0.11以前のバージョンでは、CSRFの脆弱性によってストアドXSSの攻撃が可能となっており、攻撃者はユーザーの意図しない操作を実行させることができる状態にある。この脆弱性は、CVSSスコア7.1のHigh評価を受けており、早急な対応が必要とされている。

Style Tweakerの脆弱性に関する考察

Style Tweakerの脆弱性がCSRFを経由したストアドXSSである点は、特に深刻な問題として捉える必要がある。WordPressの広範な利用状況を考慮すると、この脆弱性は多くのウェブサイトに影響を及ぼす可能性があり、悪用された場合にはユーザーデータの漏洩やサイトの改ざんなどの重大な被害につながる危険性がある。

今後の対策として、開発者側にはセキュリティ対策の強化とともに、定期的な脆弱性診断の実施が求められる。また、ユーザー側には最新バージョンへのアップデートの徹底と、不審な操作や変更を監視する体制の構築が重要となるだろう。プラグインの開発においては、セキュリティバイデザインの考え方を採用し、設計段階から脆弱性対策を組み込むことが望ましい。

WordPressエコシステムの健全な発展のためには、このような脆弱性の早期発見と対応が不可欠である。セキュリティ研究者とプラグイン開発者の連携を強化し、脆弱性情報の共有と対策の迅速な展開を実現する体制づくりが期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-25160, (参照 25-02-14).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧