プラットフォーム
wordpress
コンポーネント
car-dealer-automotive-responsive
修正版
1.6.4
Car Dealer Automotive WordPress Theme – Responsiveテーマにおいて、deletepostphoto()およびadd_car()関数における不十分なファイルパス検証により、任意ファイル削除の脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者はサーバー上の任意のファイルを削除でき、wp-config.phpファイルを削除することでリモートコード実行が可能になる可能性があります。影響を受けるバージョンは1.0.0から1.6.3です。最新バージョンへのアップデートが推奨されます。
この脆弱性は、認証された攻撃者(Subscriberレベル以上のアクセス権を持つ者)がサーバー上の任意のファイルを削除できることを意味します。最も深刻な影響は、wp-config.phpファイルが削除された場合、WordPressサイトの構成ファイルが失われ、攻撃者がサイトを完全に制御できるようになることです。さらに、攻撃者は他の重要なシステムファイルを削除することで、サーバー全体の安定性を損なう可能性があります。この脆弱性は、WordPressサイトの機密情報漏洩、改ざん、および完全なシステム制御につながる可能性があります。類似の脆弱性は、ファイルパスの不適切な検証が原因で発生することが多く、WordPressプラグインやテーマのセキュリティ対策の重要性を示しています。
この脆弱性は、2025年2月27日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の深刻度から、早期に悪用される可能性があります。CISA KEVリストへの登録状況は不明ですが、CVSSスコアが8.8(HIGH)であることから、攻撃者による悪用の可能性は高いと考えられます。WordPressサイトを運用している場合は、速やかに対応を検討する必要があります。
WordPress websites using the Car Dealer Automotive WordPress Theme – Responsive are at risk. Specifically, sites running versions 1.0.0 through 1.6.3 are vulnerable. Shared hosting environments are particularly at risk, as they often have limited control over file permissions and security configurations. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.
• wordpress / composer / npm:
wp plugin list | grep 'Car Dealer Automotive WordPress Theme'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'delete_post_photo' /var/www/html/wp-content/plugins/car-dealer-responsive/• wordpress / composer / npm:
wp plugin status | grep 'Car Dealer Automotive WordPress Theme'disclosure
エクスプロイト状況
EPSS
1.00% (77% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最善の対策は、Car Dealer Automotive WordPress Themeをバージョン1.6.4以降にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、WordPressのファイルパーミッションを厳しく制限し、攻撃者がアクセスできないようにする必要があります。また、WAF(Web Application Firewall)を導入し、不審なファイルアクセス試行をブロックすることも有効です。最後に、WordPressのセキュリティプラグインを導入し、定期的にスキャンを実行することで、潜在的な脅威を早期に発見し、対応することができます。アップデート後、wp-config.phpファイルが適切に保護されていることを確認してください。
Actualice el tema Car Dealer Automotive WordPress Theme – Responsive a la última versión disponible (superior a 1.6.3) para corregir la vulnerabilidad de eliminación y lectura arbitraria de archivos. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-1282は、Car Dealer Automotive WordPress Themeのdeletepostphoto()およびadd_car()関数におけるファイルパス検証の不備により、認証された攻撃者が任意のファイルを削除できる脆弱性です。
Car Dealer Automotive WordPress Themeのバージョン1.0.0から1.6.3を使用している場合は、影響を受けます。
Car Dealer Automotive WordPress Themeをバージョン1.6.4以降にアップデートしてください。
現時点では公開PoCは確認されていませんが、脆弱性の深刻度から、悪用される可能性は高いと考えられます。
Car Dealer Automotive WordPress Themeの公式サイトまたはWordPressプラグインディレクトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。