セキュリティ

SECURITY

公開：2025-02-27

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Jupiter X Core 4.8.7以前にLFI脆弱性が発見
• Contributor以上の権限で任意のファイル実行が可能
• SVGファイルアップロードを通じた遠隔コード実行の危険性

Jupiter X Core 4.8.7のLFI脆弱性によりリモートコード実行の危険性

WordfenceはWordPress用プラグインJupiter X Coreのバージョン4.8.7以前に存在する重大な脆弱性を2025年2月1日に公開した。この脆弱性は認証済みユーザー（Contributor以上）がget_svg関数を介してローカルファイルインクルージョン攻撃を実行できるものであり、CVSSスコアは8.8（High）と評価されている。^[1]

脆弱性の具体的な攻撃手法として、攻撃者はSVGファイルのアップロードを許可するフォームを作成し悪意のあるコンテンツを含むSVGファイルをアップロードした後、投稿内でそのファイルを含めることでリモートコード実行が可能となることが判明した。この手法により、アクセス制御のバイパスや機密データの取得が容易に実行できる状態となっている。

本脆弱性はPHPプログラムにおけるインクルード/リクワイア文のファイル名制御の不備（CWE-98）に分類されており、認証済みユーザーが特別な技術を必要とせずにリモートからコード実行できる点で深刻度が高いとされている。WordfenceはWordPressユーザーに対して速やかなアップデートを推奨している。

Jupiter X Core 4.8.7の脆弱性概要

ローカルファイルインクルージョンについて

ローカルファイルインクルージョン（LFI）とは、Webアプリケーションの脆弱性の一種で、攻撃者がサーバー上のファイルを不正に読み込むことを可能にする問題を指す。主な特徴として、以下のような点が挙げられる。

• サーバー上の任意のファイルを読み込み実行可能
• 機密情報の漏洩やシステム制御の危険性
• 認証バイパスや権限昇格に悪用される可能性

Jupiter X Coreの事例では、SVGファイルのアップロード機能とget_svg関数の実装の不備により、認証済みユーザーが容易にLFI攻撃を実行できる状態となっていた。この脆弱性は特別な技術知識を必要とせず、低い権限レベルで実行可能なため、早急な対策が必要とされている。

Jupiter X Coreの脆弱性に関する考察

WordPress用プラグインの脆弱性は、サードパーティ製のコードによってセキュリティリスクが増大する典型的な事例として捉えることができる。Jupiter X Coreの事例では、SVGファイルの処理に関する実装の不備が重大な脆弱性につながっており、プラグイン開発においてファイル処理の安全性確保が極めて重要であることを示している。

今後は同様の脆弱性を防ぐため、WordPressプラグインのセキュリティレビューの強化やファイルアップロード機能の実装ガイドラインの整備が必要となるだろう。特にContributorレベルの権限で実行可能な機能については、より厳格な入力検証とアクセス制御の実装が求められる。

また、プラグインエコシステム全体のセキュリティ向上のために、開発者向けのセキュリティトレーニングの提供や、自動化されたコード解析ツールの活用を推進することが重要だ。WordPressコミュニティ全体でセキュリティ意識を高め、より安全なプラグイン開発環境を整備していく必要がある。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0366, (参照 25-02-27).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧