セキュリティ

SECURITY

公開：2025-02-28

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6.2にクロスサイトスクリプティングの脆弱性、未認証での攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• YaySMTP 2.4.9から2.6.2にクロスサイトスクリプティングの脆弱性
• 未認証の攻撃者による任意のスクリプト実行が可能に
• CVSSスコア7.2のハイリスク脆弱性として評価

YaySMTP 2.4.9-2.6.2の深刻な脆弱性

WordfenceはWordPress用プラグインYaySMTPの2.4.9から2.6.2において深刻な脆弱性を2025年2月19日に公開した。この脆弱性は入力サニタイズとアウトプットエスケープの不足により未認証の攻撃者が任意のWebスクリプトを注入できる状態となっており、wp_kses_post()関数の削除が原因とされている。^[1]

この脆弱性はCVE-2025-0916として識別されており、CVSSスコアでは7.2のハイリスクと評価されている。攻撃の前提条件として特権は不要であり、ネットワークからアクセス可能な状態での攻撃が想定されているため、早急な対応が求められる状況となっている。

YaySMTPはAmazon SES、SendGrid、Outlook、Mailgun、Brevo、Googleなど多様なSMTPサービスに対応したメール送信プラグインであり、多くのWordPressサイトで利用されている。脆弱性はバージョン2.4.8で一度修正されていたものの、その後のアップデートで再び問題が発生する結果となった。

YaySMTP脆弱性の詳細情報

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションに悪意のあるスクリプトを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の不適切な処理による脆弱性の発生
• 攻撃者による任意のJavaScriptコードの実行が可能
• ユーザーの認証情報や個人情報の窃取のリスク

YaySMTPの事例では、wp_kses_post()関数の削除により入力値の適切なサニタイズ処理が行われなくなったことが原因となっている。未認証の攻撃者が任意のスクリプトを注入できる状態となり、そのスクリプトは正規ユーザーがページにアクセスした際に実行される可能性がある。

YaySMTPの脆弱性に関する考察

WordPress用プラグインの開発において、セキュリティ機能の実装は非常に重要な要素であり、特に入力値のサニタイズ処理は基本的な対策として認識されている。YaySMTPの事例では、一度修正された脆弱性が再び発生したことから、セキュリティレビューのプロセスや品質管理体制の見直しが必要となるだろう。

メール送信機能を持つプラグインは、特に注意深いセキュリティ対策が求められる重要なコンポーネントである。今後は開発プロセスにおいて、セキュリティテストの強化やコードレビューの徹底、そして定期的な脆弱性診断の実施が望まれる。

WordPress用プラグインのセキュリティ対策において、wp_kses_post()などのWordPressが提供する標準的なセキュリティ機能の活用は重要な選択肢となる。YaySMTPの開発チームには、セキュリティベストプラクティスの遵守と、より堅牢なコード品質管理体制の構築が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0916, (参照 25-02-28).
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧