無料スキャン
分析待ちCVE-2025-9987

CVE-2025-9987: 情報漏洩 in Broadstreet WordPress Plugin

プラットフォーム

wordpress

コンポーネント

broadstreet

修正版

1.53.2

NVDで見る
保存

Broadstreet WordPressプラグインのバージョン1.0.0から1.53.1において、getsponsoredmeta() AJAXアクションを介した情報漏洩の脆弱性が確認されています。この脆弱性を悪用されると、認証された攻撃者はsubscriber以上の権限で、本来保護されているビジネス詳細を不正に取得する可能性があります。バージョン1.53.2へのアップデートにより、この脆弱性は修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性は、攻撃者がBroadstreetプラグインを使用しているWordPressサイトの機密情報を盗み出すことを可能にします。具体的には、パスワードで保護されたビジネス詳細が漏洩する可能性があります。攻撃者は、この情報を悪用して、不正な利益を得たり、サイトの評判を損なったりする可能性があります。この脆弱性は、WordPressサイトのセキュリティを脅かす重大なリスクとなります。攻撃者は、subscriber以上の権限を持つアカウントを乗っ取ることで、この脆弱性を悪用できる可能性があります。

悪用の状況

この脆弱性は、2026年5月13日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、WordPressプラグインの脆弱性は、しばしば悪用される可能性があるため、早急な対応が必要です。この脆弱性は、KEV(Known Exploited Vulnerabilities)に登録されているかどうかは不明です。EPSSスコアは、現時点では評価待ちです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
Reports1 threat report

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントbroadstreet
ベンダーwordfence
最小バージョン1.0.0
最大バージョン1.53.1
修正版1.53.2

弱点分類 (CWE)

CWE-200

タイムライン

  1. Reserved
  2. 公開日

緩和策と回避策

Broadstreet WordPressプラグインのバージョンを1.53.2以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、WordPressのファイアウォール(WAF)やセキュリティプラグインを使用して、getsponsoredmeta() AJAXアクションへの不正なアクセスをブロックすることを検討してください。また、WordPressのセキュリティ設定を見直し、不要なプラグインを削除し、強力なパスワードを使用するなど、総合的なセキュリティ対策を講じることが重要です。アップデート後、プラグインの動作を確認し、機密情報が漏洩していないことを確認してください。

修正方法

バージョン1.53.2、またはそれ以降の修正バージョンにアップデートしてください

よくある質問

CVE-2025-9987 — 情報漏洩 in Broadstreet WordPress Pluginとは何ですか?

CVE-2025-9987は、Broadstreet WordPressプラグインのバージョン1.0.0~1.53.1における、認証された攻撃者が機密情報を抽出できる情報漏洩の脆弱性です。

CVE-2025-9987 in Broadstreet WordPress Pluginの影響はありますか?

Broadstreet WordPressプラグインのバージョン1.0.0~1.53.1を使用している場合、影響を受ける可能性があります。攻撃者は、subscriber以上の権限でパスワード保護されたビジネス詳細を抽出する可能性があります。

CVE-2025-9987 in Broadstreet WordPress Pluginを修正するにはどうすればよいですか?

Broadstreet WordPressプラグインをバージョン1.53.2以降にアップデートしてください。アップデートがすぐに利用できない場合は、WAFやセキュリティプラグインでgetsponsoredmeta() AJAXアクションへのアクセスをブロックしてください。

CVE-2025-9987は現在悪用されていますか?

現時点では、CVE-2025-9987を悪用した具体的な攻撃事例は報告されていませんが、WordPressプラグインの脆弱性は悪用される可能性があるため、早急な対応が必要です。

Broadstreet WordPress PluginのCVE-2025-9987に関する公式アドバイザリはどこで入手できますか?

Broadstreet WordPress Pluginの公式アドバイザリは、プラグインのウェブサイトまたはWordPressのセキュリティアドバイザリページで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...