CVE-2025-13520: CSRF in MTCaptcha WordPress Plugin

このCSRF脆弱性を悪用されると、攻撃者は正規のユーザー（特に管理者）を騙し、MTCaptchaプラグインの設定を不正に変更できます。特に、秘密鍵などの機密情報が設定ファイルに保存されている場合、攻撃者はこれらの情報を盗み出し、プラグインの機能を悪用したり、他のシステムへの攻撃に利用したりする可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者権限で設定変更を実行できます。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

Websites utilizing the MTCaptcha WordPress plugin, particularly those with shared hosting environments where multiple administrators may have access. Legacy systems running older WordPress installations are also at increased risk, as they may not be regularly updated with the latest security patches.

• wordpress / composer / npm:

grep -r 'MTCaptcha/includes/settings.php' /var/www/html/

• wordpress / composer / npm:

wp plugin list | grep MTCaptcha

• wordpress / composer / npm:

wp plugin update --all

• generic web: Check WordPress plugin directory for version 2.7.3 or higher.

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-11-21
2. 公開日2026-01-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずMTCaptcha WordPressプラグインをバージョン2.7.3以降にアップデートすることを推奨します。アップデートできない場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインのアップデート後、設定ファイルが改ざんされていないか確認し、必要に応じてデフォルト設定に戻してください。