CRITICALCVE-2025-0180CVSS 9.8

WP Foodbakery <= 4.7 - foodbakery_registration_validationにおける認証されていない権限昇格

Q: CVE-2025-0180 — 特権昇格 in WP Foodbakeryとは何ですか？

CVE-2025-0180は、WordPressプラグインWP Foodbakeryのバージョン0.0.0～4.7において、認証されていない攻撃者が管理者として登録できる特権昇格の脆弱性です。

Q: CVE-2025-0180 in WP Foodbakeryに影響を受けますか？

WP Foodbakeryプラグインのバージョン0.0.0から4.7を使用している場合、この脆弱性に影響を受けます。最新バージョンへのアップデートを推奨します。

Q: CVE-2025-0180 in WP Foodbakeryを修正するにはどうすればよいですか？

WP Foodbakeryプラグインを最新バージョンにアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-0180は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度から、今後悪用される可能性は高いと考えられます。

Q: CVE-2025-0180に関するWP Foodbakeryの公式アドバイザリはどこで入手できますか？

WP Foodbakeryの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティ情報ページで確認できます。

プラットフォーム

wordpress

コンポーネント

wp-foodbakery

修正版

4.7.1

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

WP Foodbakeryプラグインは、WordPressサイトにおいて特権昇格の脆弱性が確認されています。この脆弱性は、認証されていない攻撃者がサイトに管理者アカウントを作成することを可能にし、サイトの完全な制御を奪われるリスクがあります。影響を受けるバージョンは0.0.0から4.7までです。開発者は最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はWP Foodbakeryプラグインを介してWordPressサイトに管理者アカウントを不正に作成できます。これにより、攻撃者はサイトのコンテンツを改ざんしたり、機密情報を盗み出したり、悪意のあるコードを実行したりすることが可能になります。サイト全体のセキュリティが脅かされ、ビジネスへの影響も甚大となる可能性があります。この脆弱性は、WordPressサイトのセキュリティを根底から揺るがす重大な脅威です。

悪用の状況

この脆弱性は、2025年2月11日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度から、今後悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Websites using the WP Foodbakery plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also especially vulnerable. Sites relying on WP Foodbakery for critical functionality or storing sensitive user data face the highest potential impact.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'update_user_meta' /var/www/html/wp-content/plugins/wp-foodbakery/

• wordpress / composer / npm:

wp plugin list --status=all | grep wp-foodbakery

• wordpress / composer / npm:

wp plugin update wp-foodbakery --all

攻撃タイムライン

2025-02-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.43% (62% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwp-foodbakery

ベンダーChimpstudio

影響範囲修正版

0 – 4.74.7.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-01-02
公開日2025-02-11
更新日2026-04-08
EPSS 更新日2026-04-02

未パッチ — 公開から467日経過

緩和策と回避策

WP Foodbakeryプラグインのバージョン4.7より後の最新バージョンにアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ユーザー登録機能を制限するなどの回避策を検討してください。また、WordPressのセキュリティプラグインを導入し、不正なユーザー登録を検知するルールを設定することも有効です。WAF（Web Application Firewall）を導入し、管理者アカウントの作成を試みる不正なリクエストをブロックすることも有効な手段となります。

修正方法

権限昇格の脆弱性を軽減するために、WP Foodbakeryプラグインを最新バージョンにアップデートしてください。プラグインのアップデート前に、必ずウェブサイトの完全なバックアップを作成してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-0180 — 特権昇格 in WP Foodbakeryとは何ですか？

CVE-2025-0180は、WordPressプラグインWP Foodbakeryのバージョン0.0.0～4.7において、認証されていない攻撃者が管理者として登録できる特権昇格の脆弱性です。

CVE-2025-0180 in WP Foodbakeryに影響を受けますか？

WP Foodbakeryプラグインのバージョン0.0.0から4.7を使用している場合、この脆弱性に影響を受けます。最新バージョンへのアップデートを推奨します。

CVE-2025-0180 in WP Foodbakeryを修正するにはどうすればよいですか？

WP Foodbakeryプラグインを最新バージョンにアップデートすることで、この脆弱性を修正できます。

CVE-2025-0180は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度から、今後悪用される可能性は高いと考えられます。

CVE-2025-0180に関するWP Foodbakeryの公式アドバイザリはどこで入手できますか？

WP Foodbakeryの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティ情報ページで確認できます。

WP Foodbakery <= 4.7 - foodbakery_registration_validationにおける認証されていない権限昇格

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-0180 — 特権昇格 in WP Foodbakeryとは何ですか？

CVE-2025-0180 in WP Foodbakeryに影響を受けますか？

CVE-2025-0180 in WP Foodbakeryを修正するにはどうすればよいですか？

CVE-2025-0180は積極的に悪用されていますか？

CVE-2025-0180に関するWP Foodbakeryの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認