プラットフォーム
wordpress
コンポーネント
simcast
修正版
1.0.1
Simcast WordPressプラグインのバージョン1.0.0以前には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。この脆弱性は、nonce検証の不備が原因で発生し、攻撃者が不正なリクエストを送信して、管理者権限を持つユーザーを騙してプラグインの設定を変更する可能性があります。影響を受けるバージョンは1.0.0以前です。開発者は最新バージョンへのアップデートを推奨しています。
このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を騙して、Simcastプラグインの設定を不正に変更できます。これにより、攻撃者はサイトの動作を改ざんしたり、悪意のあるコードを挿入したりする可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者を騙すことができます。この脆弱性は、サイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年1月7日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRFは一般的な攻撃手法であり、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
WordPress sites utilizing the Simcast plugin, particularly those with administrators who frequently click on links from untrusted sources, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'settingsPage' /var/www/html/wp-content/plugins/simcast/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/simcast/settings.php | grep -i 'csrf token'disclosure
エクスプロイト状況
EPSS
0.02% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずSimcastプラグインを最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合は、WordPressのWAF(Web Application Firewall)プラグインを使用して、CSRF攻撃をブロックするルールを設定することを検討してください。また、管理者が不審なリンクをクリックしないように、セキュリティ意識の向上トレーニングを実施することも有効です。プラグインのアップデート後、設定が変更されていないことを確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14077は、Simcast WordPressプラグインのバージョン1.0.0以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。攻撃者は、不正なリクエストを送信して、管理者権限を持つユーザーを騙して設定を変更できます。
Simcast WordPressプラグインのバージョン1.0.0以前を使用している場合は、影響を受けます。最新バージョンへのアップデートが必要です。
Simcast WordPressプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WAFプラグインを使用してCSRF攻撃をブロックするルールを設定することを検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、悪用される可能性は否定できません。
Simcastの公式アドバイザリは、プラグインの公式サイトまたはWordPressプラグインリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。