CVE-2025-13990: XSRF in Mamurjor Employee Info

このXSRF脆弱性は、攻撃者が正規の管理者アカウントを乗っ取ることなく、Mamurjor Employee Infoプラグインを通じて機密データにアクセスし、操作することを可能にします。攻撃者は、巧妙に作成された悪意のあるリンクをクリックさせることで、管理者権限を悪用し、従業員情報を改ざんしたり、機密情報を盗み出したりする可能性があります。特に、従業員情報や給与情報などの機密データが漏洩した場合、組織の評判を損なうだけでなく、法的責任を問われる可能性もあります。この脆弱性は、WordPressサイトのセキュリティを著しく低下させる要因となります。

WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep mamurjor-employee-info

• wordpress / composer / npm:

wp plugin list | grep mamurjor-employee-info

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-12-03
2. 公開日2026-01-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずMamurjor Employee Infoプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してXSRF対策を強化することを検討してください。WAF（Web Application Firewall）を導入し、XSRF攻撃を検知・防御するルールを設定することも有効です。また、管理者のアクセス権限を最小限に抑え、二段階認証を導入することで、攻撃の影響範囲を限定することができます。アップデート後、プラグインの機能が正常に動作することを確認してください。