セキュリティ

SECURITY

公開：2025-04-03

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱性、PHPオブジェクトインジェクションの危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WordPressプラグインuListingに認証バイパスの脆弱性
• 2.1.7以前のバージョンで任意のデータ改ざんが可能
• Subscriber以上の権限で悪用可能なPHPオブジェクトインジェクション

WordPressプラグインuListingの認証バイパス脆弱性を確認

セキュリティ企業Wordfenceは2025年3月15日、WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が存在することを公開した。この脆弱性はバージョン2.1.7以前に存在し、認証済みユーザーによる任意のデータ改ざんを可能にする重大な問題となっている。^[1]

脆弱性はstm_listing_ajaxアクションにおける権限チェックの欠如に起因しており、Subscriber以上の権限を持つ攻撃者がポストメタデータを更新してPHPオブジェクトを注入できる状態にある。CVSSスコアは8.8（HIGH）と評価され、ネットワークからの攻撃が可能で攻撃条件の複雑さも低いとされている。

この脆弱性は【CVE-2025-1657】として識別されており、発見者はNguyen Tan Phatとされる。CISAによる評価では、現時点で自動化された攻撃は確認されていないものの、技術的な影響は重大とされており、早急な対応が必要とされている。

uListingの脆弱性詳細

PHPオブジェクトインジェクションについて

PHPオブジェクトインジェクションとは、アプリケーションが安全でないデシリアライゼーションを行う際に発生する脆弱性の一種である。以下のような特徴を持つ重大なセキュリティ上の問題として認識されている。

• シリアライズされたPHPオブジェクトの改ざんによる任意コード実行
• アプリケーションの制御フローの変更や権限昇格の可能性
• データの整合性を損なう深刻な影響をもたらす可能性

WordPressプラグインにおけるPHPオブジェクトインジェクションの脆弱性は、unserialize関数の不適切な使用に起因することが多く発生している。攻撃者は悪意のあるシリアライズデータを送信することで、アプリケーションの動作を予期せぬ方向に操作し、重要な情報の漏洩やシステムの制御を奪取する可能性がある。

uListingの脆弱性に関する考察

uListingプラグインの認証バイパス脆弱性は、WordPressサイトのセキュリティに対して深刻な影響を及ぼす可能性がある。特にSubscriber権限という比較的取得が容易な権限レベルで攻撃が可能である点は、多くのWordPressサイトにとって重大なリスクとなっている。加えて、PHPオブジェクトインジェクションを通じた任意のデータ改ざんが可能である点は、サイトの信頼性を大きく損なう要因となるだろう。

今後は同様の脆弱性を防ぐため、プラグイン開発者によるセキュリティレビューの強化と、権限チェックの厳密な実装が求められる。特にAJAXアクションに関するセキュリティチェックは、多くのプラグインで見落とされがちな部分であり、開発者向けのセキュリティガイドラインの整備と、コードレビューのプロセス改善が必要となるだろう。

WordPressエコシステムの健全性を維持するためには、プラグインのセキュリティ品質の向上が不可欠である。WordPressコミュニティとセキュリティ研究者の協力により、より堅牢なセキュリティフレームワークの構築と、脆弱性の早期発見・修正のサイクルを確立することが望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1657, (参照 25-04-03).
1575

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧