プラットフォーム
wordpress
コンポーネント
wp-freeio
修正版
1.2.22
WP Freeioプラグインは、WordPressサイトにおいて特権昇格の脆弱性が確認されています。この脆弱性は、登録プロセスにおけるユーザーロールの制限の欠如に起因し、認証されていない攻撃者が管理者権限を不正に取得することを可能にします。影響を受けるバージョンは0.0.0から1.2.21までです。最新バージョンへのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者は認証なしにWordPressサイトの管理者権限を取得し、サイトの完全な制御を奪う可能性があります。これにより、機密情報の窃取、不正なコンテンツの挿入、サイトの改ざん、さらにはサイト全体の乗っ取りといった深刻な被害が発生する可能性があります。攻撃者は、サイトのデータベースにアクセスし、ユーザーの個人情報やクレジットカード情報などの機密データを盗み出すことも可能です。また、サイトを悪意のあるコンテンツの配信拠点として利用したり、他のシステムへの攻撃の踏み台として利用したりすることも考えられます。
この脆弱性は、公開されており、悪用される可能性があります。現時点では、KEVに登録されていませんが、CVSSスコアが非常に高いため、今後登録される可能性もあります。攻撃者による悪用事例はまだ確認されていませんが、プラグインの利用状況を考慮すると、悪用されるリスクは高いと考えられます。NVDおよびCISAの公開日は2025年10月11日です。
Websites using the WP Freeio plugin, particularly those running older, unpatched versions (0.0.0–1.2.21), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r 'process_register' /var/www/html/wp-content/plugins/wp-freeio/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-freeio• wordpress / composer / npm:
wp plugin auto-update --all• generic web:
Check WordPress logs (typically in /var/log/apache2/error.log or similar) for suspicious registration attempts with the 'administrator' role.
• generic web:
Monitor for unusual user registration activity in the WordPress admin panel.
disclosure
エクスプロイト状況
EPSS
0.18% (40% パーセンタイル)
CISA SSVC
CVSS ベクトル
WP Freeioプラグインのバージョンを1.2.22以降の最新バージョンにアップデートすることが、この脆弱性に対する最も効果的な対策です。もしアップデートが困難な場合は、プラグインの無効化を検討してください。一時的な回避策として、WordPressのユーザー登録機能を制限するプラグインを導入することで、不正なユーザーロールの登録を防ぐことができます。また、WAF(Web Application Firewall)を導入し、不正なリクエストを検知・遮断することも有効です。
WP Freeioプラグインを修正されたバージョンにアップデートしてください。開発者はこの脆弱性を修正するためのアップデートをリリースしています。修正されたバージョンに関する詳細については、CVE詳細ページを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-11533は、WordPressプラグインWP Freeioのバージョン0.0.0~1.2.21において、登録時に不正なユーザーロールを付与することで管理者権限を取得できる特権昇格の脆弱性です。
WP Freeioプラグインのバージョン1.2.21以前を使用しているWordPressサイトは影響を受けます。最新バージョンへのアップデートが必要です。
WP Freeioプラグインをバージョン1.2.22以降の最新バージョンにアップデートしてください。
現時点では確認されていませんが、公開されているため悪用されるリスクがあります。
WP Freeioの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。