CVE-2025-14168: CSRF in WP DB Booster WordPress Plugin

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を欺き、データベースから機密情報や重要なデータを削除させることが可能になります。具体的には、攻撃者は巧妙に作成されたリンクをクリックさせることで、データベースのクリーンアップアクションを強制的に実行させることができます。これにより、サイトのコンテンツ、ユーザーデータ、設定情報などが失われる可能性があります。特に、データベースのバックアップが定期的に行われていない場合、データ復旧が困難になるリスクがあります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。

WordPress sites utilizing the WP DB Booster plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as an attacker could potentially exploit the vulnerability on one site to impact others.

• wordpress / composer / npm:

grep -r 'cleanup_all' /var/www/html/wp-content/plugins/wp-db-booster/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'wp-db-booster'

• wordpress / composer / npm:

curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=cleanup_all' | grep '200 OK'

1. 2025-12-20Disclosure

   disclosure

1. 予約済み2025-12-05
2. 公開日2025-12-20
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

WP DB Boosterプラグインのバージョンを最新版にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用してCSRF対策を強化することを検討してください。WAF（Web Application Firewall）を導入し、悪意のあるリクエストを検知・遮断するルールを設定することも有効です。また、管理者が不審なリンクをクリックしないよう、セキュリティ意識の向上を図ることが重要です。プラグインのアップデート後、データベースのバックアップを行い、正常に動作することを確認してください。