無料スキャン
分析待ちCVE-2025-9988

CVE-2025-9988: 不正アクセス in Broadstreet WordPress Plugin

プラットフォーム

wordpress

コンポーネント

broadstreet

修正版

1.53.2

NVDで見る
保存

Broadstreet WordPressプラグインのバージョン0から1.53.1までの脆弱性により、不正アクセスが発生する可能性があります。この脆弱性は、Subscriber権限以上の認証済み攻撃者が、本来許可されていない広告主を作成することを可能にします。バージョン1.53.2で修正が提供されており、速やかなアップデートを推奨します。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はBroadstreetプラグインを通じて不正に広告主を作成できます。これにより、悪意のある広告の掲載、不正な収益の獲得、またはプラグインの機能の悪用といった攻撃が可能になります。攻撃者は、WordPressサイトの他の機能へのアクセスを試み、さらなる不正アクセスを拡大する可能性があります。特に、広告管理システムに依存するサイトでは、重大な経済的損失や評判の低下につながる可能性があります。

悪用の状況

この脆弱性は、公開されている情報に基づいて悪用される可能性があります。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、WordPressプラグインの脆弱性はしばしば悪用されるため、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威情報に注意を払うことを推奨します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CISA SSVC

Exploitationnone
Automatableno
Technical Impactpartial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントbroadstreet
ベンダーwordfence
最小バージョン0
最大バージョン1.53.1
修正版1.53.2

弱点分類 (CWE)

CWE-285

タイムライン

  1. Reserved
  2. 公開日

緩和策と回避策

Broadstreet WordPressプラグインのバージョンを1.53.2以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのアクセス制御機能を強化し、Subscriber権限を持つユーザーの権限を制限することを検討してください。WAF(Web Application Firewall)を導入し、不正な広告主作成リクエストをブロックすることも有効です。また、WordPressのセキュリティプラグインを使用して、不審なアクティビティを監視し、早期に検知することも重要です。アップデート後、プラグインのアクセス制御設定を確認し、不要な権限が付与されていないことを確認してください。

修正方法

バージョン1.53.2、またはそれ以降の修正バージョンにアップデートしてください

よくある質問

CVE-2025-9988 — 不正アクセス in Broadstreet WordPress Pluginとは何ですか?

CVE-2025-9988は、Broadstreet WordPressプラグインのバージョン0–1.53.1における、認証された攻撃者がSubscriber以上の権限で広告主を作成できる不正アクセス脆弱性です。

CVE-2025-9988 in Broadstreet WordPress Pluginの影響を受けていますか?

Broadstreet WordPressプラグインのバージョンが0から1.53.1の場合は、影響を受けている可能性があります。バージョン1.53.2以降にアップデートすることで、この脆弱性を解消できます。

CVE-2025-9988 in Broadstreet WordPress Pluginを修正するにはどうすればよいですか?

Broadstreet WordPressプラグインをバージョン1.53.2以降にアップデートしてください。アップデートが難しい場合は、アクセス制御を強化し、WAFを導入することを検討してください。

CVE-2025-9988は現在積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、WordPressプラグインの脆弱性はしばしば悪用されるため、注意が必要です。

CVE-2025-9988に関するBroadstreetの公式アドバイザリはどこで入手できますか?

Broadstreetの公式アドバイザリは、BroadstreetのウェブサイトまたはWordPressプラグインリポジトリで確認できます。最新の情報は、Broadstreetのセキュリティチームにお問い合わせください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...