HIGHCVE-2025-13801CVSS 7.5

Yoco Payments <= 3.9.0 - 認証されていない任意のファイル読み出し

Q: CVE-2025-13801 — パス・トラバーサルはYoco Payments WordPressプラグインで何ですか？

CVE-2025-13801は、Yoco Payments WordPressプラグインのバージョン0.0.0～3.9.0におけるパス・トラバーサル脆弱性です。攻撃者が任意のファイルを読み取ることが可能になります。

Q: CVE-2025-13801でYoco Payments WordPressプラグインを使用しています。影響を受けますか？

Yoco Payments WordPressプラグインのバージョンが0.0.0から3.9.0のいずれかである場合、この脆弱性の影響を受けます。

Q: CVE-2025-13801でYoco Payments WordPressプラグインを修正するにはどうすればよいですか？

Yoco Payments WordPressプラグインをバージョン3.9.1以降にアップデートしてください。

Q: CVE-2025-13801は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2025-13801のYoco Payments WordPressプラグインの公式アドバイザリはどこで入手できますか？

Yoco Paymentsの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

yoco-payment-gateway

修正版

3.9.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-13801は、Yoco Payments WordPressプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。影響を受けるバージョンは0.0.0から3.9.0までで、バージョン3.9.1でこの問題が修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がYoco Paymentsプラグインのファイルパラメータを操作することで、サーバー上のファイルシステムを探索し、機密情報を含むファイルを読み取れることを意味します。例えば、設定ファイル、データベースのバックアップ、またはソースコードから、APIキー、データベースの認証情報、またはその他の機密データが漏洩する可能性があります。攻撃者は、この情報を利用して、システムへのさらなるアクセスを試みたり、データを改ざんしたり、サービスを妨害したりする可能性があります。WordPressプラグインの脆弱性は、しばしば広範囲に影響を及ぼす可能性があり、攻撃者は多数のウェブサイトを標的にする可能性があります。

悪用の状況

CVE-2025-13801は、2026年1月7日に公開されました。現時点では、この脆弱性を悪用した公開されているPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Websites using the Yoco Payments plugin, particularly those running older versions (0.0.0 - 3.9.0), are at risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to files on other websites hosted on the same server.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'file=([^&]+)' /var/www/html/wp-content/plugins/yoco-payments/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/yoco-payments/../../../../etc/passwd'

攻撃タイムライン

2026-01-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.19% (41% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントyoco-payment-gateway

ベンダーwordfence

影響範囲修正版

0 – 3.9.03.9.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-11-30
公開日2026-01-07
更新日2026-04-08
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Yoco Paymentsプラグインをバージョン3.9.1以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、ウェブサーバーの設定でファイルアクセスを制限し、Yoco Paymentsプラグインのディレクトリへのアクセスを厳密に制御することを検討してください。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・ブロックするルールを設定することも有効です。プラグインのアップデート後、ファイルアクセス権限が適切に設定されていることを確認し、機密情報が保護されていることを検証してください。

修正方法

バージョン 3.9.1、またはそれ以降の修正されたバージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13801 — パス・トラバーサルはYoco Payments WordPressプラグインで何ですか？