CRITICALCVE-2025-13764CVSS 9.8

WP CarDealer <= 1.2.16 - 認証されていない権限昇格

Q: CVE-2025-13764 — 特権昇格 in WP CarDealerとは何ですか？

CVE-2025-13764は、WordPressプラグインWP CarDealerのバージョン0–1.2.16における、認証されていない攻撃者が管理者権限を不正に取得できる特権昇格の脆弱性です。

Q: CVE-2025-13764 in WP CarDealerの影響はありますか？

WP CarDealerプラグインのバージョン0–1.2.16を使用している場合、影響を受ける可能性があります。攻撃者は管理者権限を奪取し、サイトの改ざんや機密情報の漏洩を引き起こす可能性があります。

Q: CVE-2025-13764 in WP CarDealerを修正するにはどうすればよいですか？

WP CarDealerプラグインをバージョン1.2.17にアップデートしてください。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ユーザー登録機能を制限するなどの回避策を検討してください。

Q: CVE-2025-13764は積極的に悪用されていますか？

現時点では具体的な攻撃キャンペーンの報告はありませんが、公開されている脆弱性であるため、悪用される可能性は高いと評価されます。

Q: CVE-2025-13764に関するWP CarDealerの公式アドバイザリはどこで入手できますか？

WP CarDealerの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。

プラットフォーム

wordpress

コンポーネント

wp-cardealer

修正版

1.2.17

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

WP CarDealerプラグインのバージョン0から1.2.16までのWordPress環境において、特権昇格の脆弱性が確認されています。この脆弱性は、登録プロセスにおけるユーザーロールの制限の欠如に起因し、攻撃者が管理者権限を不正に取得する可能性があります。バージョン1.2.17でこの問題が修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、認証されていない攻撃者はWP CarDealerプラグインを介してWordPressサイトの管理者権限を奪取できます。これにより、攻撃者はサイトのコンテンツを改ざんしたり、機密情報を盗み出したり、悪意のあるコードを実行したりすることが可能になります。サイト全体の制御を失うリスクがあり、ビジネスへの影響は甚大です。攻撃者は、サイトのデータベースを操作し、ユーザーアカウントを乗っ取り、さらには他のシステムへの攻撃の足がかりとして利用する可能性があります。

悪用の状況

この脆弱性は、公開されており、悪用される可能性が高いと評価されます。現時点では、具体的な攻撃キャンペーンの報告はありませんが、攻撃者による悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。NVD（National Vulnerability Database）への登録日は2025年12月11日です。

リスク対象者翻訳中…

Websites utilizing the WP CarDealer plugin, particularly those with limited security hardening or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where multiple websites share the same server are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'WP_CarDealer_User::process_register' /var/www/html/wp-content/plugins/wp-cardealer/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'wp-cardealer'

• wordpress / composer / npm:

wp plugin update wp-cardealer --all

攻撃タイムライン

2025-12-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.15% (35% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwp-cardealer

ベンダーwordfence

影響範囲修正版

0 – 1.2.161.2.17

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-11-27
公開日2025-12-11
更新日2026-04-08
EPSS 更新日2026-03-23

緩和策と回避策

WP CarDealerプラグインをバージョン1.2.17にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ユーザー登録機能を制限するなどの回避策を検討してください。WAF（Web Application Firewall）を導入し、不正なユーザーロール指定を検知・ブロックするルールを設定することも有効です。WordPressのセキュリティプラグインを活用し、不審なアクティビティを監視することも重要です。

修正方法

バージョン1.2.17、またはそれ以降の修正されたバージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13764 — 特権昇格 in WP CarDealerとは何ですか？

CVE-2025-13764は、WordPressプラグインWP CarDealerのバージョン0–1.2.16における、認証されていない攻撃者が管理者権限を不正に取得できる特権昇格の脆弱性です。

CVE-2025-13764 in WP CarDealerの影響はありますか？

WP CarDealerプラグインのバージョン0–1.2.16を使用している場合、影響を受ける可能性があります。攻撃者は管理者権限を奪取し、サイトの改ざんや機密情報の漏洩を引き起こす可能性があります。

CVE-2025-13764 in WP CarDealerを修正するにはどうすればよいですか？

WP CarDealerプラグインをバージョン1.2.17にアップデートしてください。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ユーザー登録機能を制限するなどの回避策を検討してください。

CVE-2025-13764は積極的に悪用されていますか？

現時点では具体的な攻撃キャンペーンの報告はありませんが、公開されている脆弱性であるため、悪用される可能性は高いと評価されます。

CVE-2025-13764に関するWP CarDealerの公式アドバイザリはどこで入手できますか？

WP CarDealerの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。

WP CarDealer <= 1.2.16 - 認証されていない権限昇格

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-13764 — 特権昇格 in WP CarDealerとは何ですか？

CVE-2025-13764 in WP CarDealerの影響はありますか？

CVE-2025-13764 in WP CarDealerを修正するにはどうすればよいですか？

CVE-2025-13764は積極的に悪用されていますか？

CVE-2025-13764に関するWP CarDealerの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認