無料スキャン
HIGHCVE-2025-11746CVSS 8.8

XStore | 多目的WooCommerceテーマ <= 9.5.4 - 認証済み (購読者+) ローカルファイルインクルージョン

プラットフォーム

wordpress

コンポーネント

xstore

修正版

9.5.5

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2025-11746は、WordPressのXStoreテーマにおけるローカルファイルインクルージョン(LFI)脆弱性です。この脆弱性は、認証された攻撃者がSubscriber以上の権限を持つ場合、etajaxrequiredpluginspopup()関数を通じて任意のPHPファイルをサーバーにインクルードし、実行することを可能にします。影響を受けるバージョンは0.0.0から9.5.4までで、9.5.5で修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はXStoreテーマがインストールされているWordPressサイト上で任意のPHPコードを実行できます。これにより、機密情報の窃取、Webサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、攻撃者がPHPファイルをアップロードできる環境下では、より広範な攻撃につながる危険性があります。類似のLFI脆弱性は、Webサイトのセキュリティを著しく低下させる要因となります。

悪用の状況

この脆弱性は、2025年10月15日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、LFI脆弱性は悪用が容易であるため、早期に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、WordPressの脆弱性を悪用して、Webサイトを改ざんしたり、機密情報を窃取したりする可能性があります。

リスク対象者翻訳中…

Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/

• wordpress / composer / npm:

wp plugin list | grep xstore

• wordpress / composer / npm:

find /var/www/html/wp-content/uploads/ -name '*.php' -type f

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.15% (36% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントxstore
ベンダー8theme
影響範囲修正版
0 – 9.5.49.5.5

弱点分類 (CWE)

CWE-22

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

まず、XStoreテーマをバージョン9.5.5以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用して、ファイルインクルージョンの試みを検知・ブロックするルールを設定することを推奨します。また、Webアプリケーションファイアウォール(WAF)を導入し、不審なリクエストをフィルタリングすることも有効です。ファイルアップロード機能の制限や、PHPファイルの実行を禁止する設定も検討すべきです。

修正方法翻訳中…

Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales.  Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso.  Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-11746 — ローカルファイルインクルージョンはXStore WordPressテーマで何ですか?

CVE-2025-11746は、XStore WordPressテーマのetajaxrequiredpluginspopup()関数におけるローカルファイルインクルージョン脆弱性です。認証された攻撃者が任意のPHPファイルを実行できる可能性があります。

CVE-2025-11746でXStore WordPressテーマを使用しています。影響を受けますか?

XStore WordPressテーマのバージョンが0.0.0から9.5.4までの場合は、影響を受けます。バージョン9.5.5以降にアップデートしてください。

CVE-2025-11746でXStore WordPressテーマを修正するにはどうすればよいですか?

XStore WordPressテーマをバージョン9.5.5以降にアップデートしてください。アップデートが難しい場合は、セキュリティプラグインやWAFの導入を検討してください。

CVE-2025-11746は積極的に悪用されていますか?

現時点では公的なPoCは確認されていませんが、LFI脆弱性は悪用が容易であるため、早期に悪用される可能性があります。

CVE-2025-11746のXStore WordPressテーマの公式アドバイザリはどこで入手できますか?

XStore WordPressテーマの公式アドバイザリは、テーマの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索