WordPress Movie Booking プラグイン <= 1.1.5 - 任意のファイル削除の脆弱性
プラットフォーム
wordpress
コンポーネント
movie-booking
修正版
1.1.6
CVE-2025-67963は、ovatheme Movie Bookingにおいて、パス・トラバーサル脆弱性が存在します。この脆弱性は、攻撃者が本来アクセスできないファイルを読み取れる可能性を秘めており、機密情報の漏洩やシステムの改ざんにつながる恐れがあります。影響を受けるバージョンは0.0.0から1.1.5までですが、バージョン1.1.6でこの問題が修正されています。
このCVEがあなたのプロジェクトに影響するか確認
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
影響と攻撃シナリオ
このパス・トラバーサル脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。例えば、設定ファイルやログファイルから機密情報(データベースのパスワード、APIキーなど)を盗み出すことが考えられます。また、Webサイトのソースコードを読み取り、脆弱性を特定したり、悪意のあるコードを挿入したりすることも可能です。攻撃者は、この脆弱性を利用して、Webサイトの機密情報を盗み出し、さらなる攻撃に利用する可能性があります。類似の脆弱性は、過去に多くのWebアプリケーションで確認されており、適切なアクセス制限が実施されていない場合に悪用されるリスクがあります。
悪用の状況
このCVEは2026年1月22日に公開されました。現時点では、KEVへの登録状況は不明です。EPSSスコアは、脆弱性の深刻度と悪用可能性を考慮すると、中程度(Medium)と評価される可能性があります。パブリックなPoCは確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、今後PoCが公開される可能性も考慮する必要があります。
リスク対象者翻訳中…
WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.
検出手順翻訳中…
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'• wordpress / composer / npm:
wp plugin list --status=inactive | grep movie-booking攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
- Confidentiality
- なし — 機密性への影響なし。
- Integrity
- なし — 完全性への影響なし。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
この脆弱性への対応として、まずovatheme Movie Bookingをバージョン1.1.6にアップデートすることを推奨します。アップデートが困難な場合は、Webサーバーの設定で、ovatheme Movie Bookingのディレクトリへのアクセスを制限するなどの対策を講じる必要があります。WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。また、ファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも重要です。
修正方法
バージョン 1.1.6、またはそれ以降の修正されたバージョンにアップデートしてください
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2025-67963 — パス・トラバーサル脆弱性は、ovatheme Movie Bookingで何ですか?
CVE-2025-67963は、ovatheme Movie Bookingのバージョン0.0.0~1.1.5において、攻撃者が本来アクセスできないファイルを読み取れるパス・トラバーサル脆弱性です。
CVE-2025-67963で、ovatheme Movie Bookingを使用している場合、影響を受けますか?
はい、ovatheme Movie Bookingのバージョン0.0.0から1.1.5を使用している場合は、この脆弱性の影響を受けます。バージョン1.1.6にアップデートすることで修正されます。
CVE-2025-67963で、ovatheme Movie Bookingを修正するにはどうすればよいですか?
ovatheme Movie Bookingをバージョン1.1.6にアップデートしてください。アップデートが難しい場合は、Webサーバーの設定でアクセス制限を強化するなどの対策を講じてください。
CVE-2025-67963は、現在積極的に悪用されていますか?
現時点では、CVE-2025-67963の積極的な悪用事例は確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、今後悪用される可能性も考慮する必要があります。
CVE-2025-67963に関する、ovatheme Movie Bookingの公式アドバイザリはどこで入手できますか?
ovatheme Movie Bookingの公式アドバイザリは、通常、ovathemeのWebサイトまたはWordPressのプラグインリポジトリで公開されます。