プラットフォーム
wordpress
コンポーネント
xstore
修正版
9.5.5
CVE-2025-11746は、WordPressのXStoreテーマにおけるローカルファイルインクルージョン(LFI)脆弱性です。この脆弱性は、認証された攻撃者がSubscriber以上の権限を持つ場合、etajaxrequiredpluginspopup()関数を通じて任意のPHPファイルをサーバーにインクルードし、実行することを可能にします。影響を受けるバージョンは0.0.0から9.5.4までで、9.5.5で修正されています。
この脆弱性を悪用されると、攻撃者はXStoreテーマがインストールされているWordPressサイト上で任意のPHPコードを実行できます。これにより、機密情報の窃取、Webサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、攻撃者がPHPファイルをアップロードできる環境下では、より広範な攻撃につながる危険性があります。類似のLFI脆弱性は、Webサイトのセキュリティを著しく低下させる要因となります。
この脆弱性は、2025年10月15日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、LFI脆弱性は悪用が容易であるため、早期に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、WordPressの脆弱性を悪用して、Webサイトを改ざんしたり、機密情報を窃取したりする可能性があります。
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
エクスプロイト状況
EPSS
0.15% (36% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、XStoreテーマをバージョン9.5.5以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用して、ファイルインクルージョンの試みを検知・ブロックするルールを設定することを推奨します。また、Webアプリケーションファイアウォール(WAF)を導入し、不審なリクエストをフィルタリングすることも有効です。ファイルアップロード機能の制限や、PHPファイルの実行を禁止する設定も検討すべきです。
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-11746は、XStore WordPressテーマのetajaxrequiredpluginspopup()関数におけるローカルファイルインクルージョン脆弱性です。認証された攻撃者が任意のPHPファイルを実行できる可能性があります。
XStore WordPressテーマのバージョンが0.0.0から9.5.4までの場合は、影響を受けます。バージョン9.5.5以降にアップデートしてください。
XStore WordPressテーマをバージョン9.5.5以降にアップデートしてください。アップデートが難しい場合は、セキュリティプラグインやWAFの導入を検討してください。
現時点では公的なPoCは確認されていませんが、LFI脆弱性は悪用が容易であるため、早期に悪用される可能性があります。
XStore WordPressテーマの公式アドバイザリは、テーマの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。