セキュリティ

SECURITY

公開：2025-03-22

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証不要で任意のファイル実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• HUSKY製品に認証不要なLFI脆弱性が発見
• WordPress用プラグインのバージョン1.3.6.5以前に影響
• 任意のファイル実行やデータ取得のリスクあり

HUSKY WooCommerceプラグインのLFI脆弱性が発見

Wordfenceは2025年3月11日、WordPress用プラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョン（LFI）の脆弱性が発見されたと発表した。この脆弱性は認証不要で悪用可能であり、CVSSスコアは9.8のクリティカルレベルとなっている。^[1]

脆弱性はwoof_text_searchというAJAXアクションの「template」パラメータに存在しており、攻撃者は認証なしで任意のファイルを含めて実行することが可能となっている。特に画像などの「安全な」ファイルタイプがアップロード可能な環境では、コード実行やアクセス制御のバイパスにつながる危険性が指摘されている。

影響を受けるバージョンは1.3.6.5以前のすべてのバージョンであり、脆弱性はCVE-2025-1661として識別されている。CWEによる脆弱性タイプはパストラバーサル（CWE-22）に分類され、攻撃の前提条件が少なく深刻度の高い脆弱性として報告されている。

HUSKY WooCommerceプラグインの脆弱性概要

ローカルファイルインクルージョンについて

ローカルファイルインクルージョン（LFI）とは、Webアプリケーションの脆弱性の一種であり、攻撃者がサーバー上のファイルを不正に読み込むことを可能にする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• サーバー上の任意のファイルを読み込み可能
• システムファイルやアプリケーションデータへのアクセスが可能
• 特定の条件下でリモートコード実行につながる可能性あり

WordPress環境においてLFI脆弱性が存在する場合、wp-config.phpなどの重要な設定ファイルが読み取られる危険性がある。HUSKYプラグインの場合、woof_text_searchアクションを通じて任意のファイルを含めることが可能となっており、特に画像アップロード機能と組み合わせることで深刻な被害につながる可能性が指摘されている。

HUSKY WooCommerceプラグインの脆弱性に関する考察

HUSKY WooCommerceプラグインの脆弱性は、認証不要で攻撃可能という点で特に深刻度が高いと言える。このプラグインはECサイトで使用されることが多く、決済情報や個人情報が含まれる可能性があるため、早急なアップデートが必要となるだろう。

プラグイン開発においては、ファイルインクルージョンの実装時に適切なバリデーションとサニタイズ処理を行うことが重要である。特にユーザー入力を受け付けるパラメータに対しては、ホワイトリスト方式での検証やパストラバーサル対策を徹底することが求められるだろう。

今後はWordPressプラグインのセキュリティ審査をより厳格化し、リリース前の脆弱性スキャンを必須とすることが望ましい。また、開発者向けのセキュリティガイドラインを整備し、共通の脆弱性パターンに対する対策方法を明確化することで、類似の問題の発生を防ぐことができるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1661, (参照 25-03-22).
2167

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧