無料スキャン
CRITICALCVE-2025-15488CVSS 9.8

Responsive Plus – Elementor Templates & Starter Sites < 3.4.3 - 認証されていない任意のコード実行

プラットフォーム

wordpress

コンポーネント

responsive-add-ons

修正版

3.4.3

3.4.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-15488 represents a critical Remote Code Execution (RCE) vulnerability affecting the Responsive Plus – Elementor Templates & Starter Sites plugin for WordPress. Successful exploitation allows unauthenticated attackers to execute arbitrary code on the server, leading to complete system compromise. This vulnerability impacts versions of the plugin up to 3.4.3 (exclusive). A patch is available in version 3.4.3.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

A Remote Code Execution (RCE) vulnerability has been discovered in the Responsive Plus – Elementor Templates & Starter Sites plugin for WordPress. Identified as CVE-2025-15488, this vulnerability affects all versions of the plugin prior to 3.4.3. An unauthenticated attacker could exploit this flaw to execute malicious code on the web server hosting the WordPress site. This could result in complete site takeover, data exfiltration, content modification, or denial of service. The vulnerability’s severity is rated as 9.8 on the CVSS scale, indicating a critical risk. The lack of required authentication for exploitation makes it particularly dangerous, as anyone with access to the site’s network could potentially exploit it.

悪用の状況翻訳中…

The vulnerability stems from a flaw in how the plugin handles certain user inputs. An attacker could send a specially crafted request to the server containing malicious code. If the plugin does not properly validate or sanitize these inputs, the malicious code could be executed in the context of the web server. The lack of authentication means the attacker does not need to log in to the website to exploit the vulnerability. This makes it accessible to a wide range of attackers, including those with limited technical skills. Attackers are expected to begin actively scanning vulnerable websites for this flaw.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.10% (28% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントresponsive-add-ons
ベンダーwordfence
影響範囲修正版
0 – 3.4.33.4.3
3.4.33.4.3

パッケージ情報

アクティブインストール数
10K既知
プラグイン評価
4.5
WordPressが必要
5.0+
動作確認済みバージョン
6.9.4
PHPが必要
5.6+
ホームページ

弱点分類 (CWE)

CWE-94

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The most effective solution to mitigate this vulnerability is to immediately update the Responsive Plus plugin to version 3.4.3 or higher. This update includes a patch for the RCE vulnerability. If updating the plugin immediately is not possible, it is recommended to take additional security measures, such as restricting access to the website, implementing a web application firewall (WAF), and monitoring server logs for suspicious activity. Regular website backups are crucial to enable restoration in case of a successful attack. Furthermore, ensure all other plugins and the WordPress core are updated to the latest versions to reduce the overall attack surface.

修正方法

バージョン3.4.3、またはそれ以降の修正されたバージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2025-15488 — Remote Code Execution (RCE) in Responsive Plus – Elementor Templates & Starter Sites?

RCE is a type of vulnerability that allows an attacker to execute arbitrary code on a server. This can give the attacker complete control over the server.

Am I affected by CVE-2025-15488 in Responsive Plus – Elementor Templates & Starter Sites?

If you are using a version of Responsive Plus prior to 3.4.3, your website is vulnerable. You can check the plugin version in the WordPress admin dashboard, under the 'Plugins' section.

How do I fix CVE-2025-15488 in Responsive Plus – Elementor Templates & Starter Sites?

Implement additional security measures, such as a web application firewall (WAF) and monitor server logs.

Is CVE-2025-15488 being actively exploited?

Vulnerability scanners are available that can detect this vulnerability. Consult with your web security provider for more information.

Where can I find the official Responsive Plus – Elementor Templates & Starter Sites advisory for CVE-2025-15488?

A CVSS score of 9.8 indicates a critical risk. It means the vulnerability is easy to exploit and can have a significant impact on website security.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索