無料スキャン
HIGHCVE-2025-14675CVSS 7.2

Meta Box <= 5.11.1 - 認証済み (貢献者+) による任意のファイル削除

プラットフォーム

wordpress

コンポーネント

meta-box

修正版

5.11.2

AI Confidence: highNVDEPSS 0.9%レビュー済み: 2026年5月
NVDで見る
保存

Meta Box WordPressプラグインに、ファイルパスの検証不備による任意ファイルアクセス脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者はサーバー上の任意のファイルを削除することが可能となり、システムへの深刻な影響を及ぼす可能性があります。影響を受けるバージョンは0.0.0から5.11.1です。バージョン5.11.2へのアップデートで修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者(コントリビュータ権限以上)が、サーバー上の任意のファイルを削除できることを意味します。攻撃者は、wp-config.phpなどの重要なファイルを削除することで、WordPressサイトの完全な制御を獲得し、リモートコードを実行する可能性があります。これにより、機密情報の漏洩、ウェブサイトの改ざん、さらにはサーバー全体の侵害といった深刻な被害が発生する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。

悪用の状況

この脆弱性は、公開されている情報に基づいて悪用される可能性があります。現時点では、KEVリストに登録されていませんが、CVSSスコアがHIGHであるため、悪用されるリスクは高いと考えられます。攻撃者は、公開されている情報や既存のWordPressサイトの脆弱性を利用して、この脆弱性を悪用する可能性があります。NVDおよびCISAの公開日は2026年3月7日です。

リスク対象者翻訳中…

WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'meta-box'

• wordpress / composer / npm:

wp plugin update meta-box --all

• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.89% (75% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントmeta-box
ベンダーwordfence
影響範囲修正版
0 – 5.11.15.11.2

パッケージ情報

アクティブインストール数
500K人気
プラグイン評価
4.8
WordPressが必要
6.5+
動作確認済みバージョン
6.9.4
PHPが必要
7.4+
ホームページ

弱点分類 (CWE)

CWE-22

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
公開後-2日でパッチ適用

緩和策と回避策

まず、Meta Boxプラグインをバージョン5.11.2以降にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、ファイル削除機能を一時的に無効化する、またはアクセス制御を強化するなどの対策を講じる必要があります。WAF(Web Application Firewall)を導入し、不正なファイルアクセス試行を検知・ブロックすることも有効です。また、WordPressのファイルパーミッションを適切に設定し、攻撃者がアクセスできるファイルを制限することも重要です。アップデート後、プラグインの動作を確認し、ファイル削除機能が正常に動作することを確認してください。

修正方法

バージョン 5.11.2、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-14675 — 任意ファイルアクセス in Meta Boxとは何ですか?

CVE-2025-14675は、Meta Box WordPressプラグインのバージョン0.0.0~5.11.1において、ファイルパスの検証不備により、認証された攻撃者がサーバー上の任意のファイルを削除できる脆弱性です。

CVE-2025-14675 in Meta Boxに影響を受けますか?

Meta Boxプラグインのバージョン5.11.1以前を使用している場合は、影響を受けます。バージョン5.11.2以降にアップデートしてください。

CVE-2025-14675 in Meta Boxを修正するにはどうすればよいですか?

Meta Boxプラグインをバージョン5.11.2以降にアップデートしてください。アップデートが直ちに実行できない場合は、ファイル削除機能を一時的に無効化するなどの対策を講じてください。

CVE-2025-14675は積極的に悪用されていますか?

現時点では、積極的に悪用されているという報告はありませんが、CVSSスコアがHIGHであるため、悪用されるリスクは高いと考えられます。

CVE-2025-14675に関するMeta Boxの公式アドバイザリはどこで入手できますか?

Meta Boxの公式アドバイザリは、Meta Boxのウェブサイトで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索