セキュリティ

SECURITY

公開：2025-03-07

【CVE-2025-0912】GiveWP 3.19.4に未認証のPHPオブジェクトインジェクション脆弱性、リモートコード実行の危険性が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GiveWPバージョン3.19.4以前に深刻な脆弱性が発見
• 未認証のPHPオブジェクトインジェクションが可能
• リモートコード実行のリスクを含む重大な脆弱性

GiveWP 3.19.4の深刻な脆弱性

WordfenceはWordPress用寄付プラグインGiveWPのバージョン3.19.4以前に、未認証のPHPオブジェクトインジェクション脆弱性を2025年3月4日に公開した。この脆弱性は寄付フォームの「card_address」パラメータを介して信頼できない入力のデシリアライゼーションが可能となっており、攻撃者が認証なしでPHPオブジェクトを注入できる状態になっている。^[1]

この脆弱性はCVSS v3.1で深刻度が9.8のクリティカルと評価されており、攻撃条件の複雑さは低く特別な権限も不要とされている。POPチェーンの存在により攻撃者によるリモートコード実行が可能となるため、早急な対応が必要な状況だ。

この問題はGiveWPの全バージョンに影響を及ぼしており、バージョン3.19.4までのすべてのユーザーが潜在的な攻撃対象となっている。脆弱性の発見者であるdream hard finderによって報告され、すでに詳細な技術情報がWordfenceのセキュリティデータベースで公開されている。

GiveWP 3.19.4脆弱性の詳細

PHPオブジェクトインジェクションについて

PHPオブジェクトインジェクションとは、アプリケーションが信頼できない入力データをデシリアライズする際に発生する脆弱性の一種である。以下のような特徴が挙げられる。

• シリアライズされたデータを介して悪意のあるコードを注入可能
• デシリアライズ処理時に任意のPHPオブジェクトを生成できる
• POPチェーンと組み合わせることでリモートコード実行が可能

この種の脆弱性はGiveWPの寄付フォームにおける「card_address」パラメータを介して発生しており、攻撃者は特別な認証なしで悪意のあるPHPオブジェクトを注入することが可能となっている。WordPressプラグインにおけるこの種の脆弱性は、サイト全体に深刻な影響を及ぼす可能性が高い。

GiveWP脆弱性に関する考察

GiveWPの脆弱性が認証なしで悪用可能である点は、特に深刻な問題として捉える必要がある。寄付プラグインという性質上、多くの非営利団体や慈善組織が利用していることが予想され、これらの組織の信頼性や資金管理に重大な影響を及ぼす可能性が高いだろう。

今後は同様の脆弱性を防ぐため、プラグイン開発者によるより厳密な入力検証とデシリアライズ処理の実装が求められる。特にユーザー入力を処理する際のサニタイズ処理の強化と、オブジェクトインジェクション攻撃に対する防御メカニズムの実装が重要になるだろう。

早急なセキュリティアップデートのリリースが期待されるが、それまでの間はWAFの導入やフォーム入力の厳格な検証など、可能な限りの防御策を講じる必要がある。この事例を教訓に、WordPress開発コミュニティ全体でセキュリティ意識の向上と、より安全なコーディング慣行の確立が望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0912, (参照 25-03-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧