プラットフォーム
wordpress
コンポーネント
getcontentfromurl
修正版
1.0.1
CVE-2025-14613は、WordPressプラグインGetContentFromURLにおけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。この脆弱性は、認証された攻撃者が、ウェブアプリケーションを起点として任意の場所へのウェブリクエストを送信することを可能にし、内部サービスへのアクセスや情報漏洩につながる可能性があります。影響を受けるバージョンは1.0.0から1.0までです。最新バージョンへのアップデートにより、この脆弱性は修正されています。
このSSRF脆弱性を悪用されると、攻撃者は内部ネットワーク上の機密情報にアクセスしたり、内部サービスを悪用したりする可能性があります。例えば、内部データベースへのアクセス、管理インターフェースへのアクセス、または他の内部システムへの攻撃などが考えられます。攻撃者は、[gcfu]ショートコードの'url'パラメータを操作することで、任意のURLを指定し、ウェブアプリケーションからそのURLへのリクエストを送信できます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年1月14日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、内部ネットワークの探索や、機密情報の窃取を目的としてこの脆弱性を悪用する可能性があります。
WordPress websites utilizing the GetContentFromURL plugin, particularly those with users having Contributor or higher access levels, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable. Sites with legacy configurations or those lacking robust WAF protection are more susceptible to exploitation.
• wordpress / plugin: Use wp-cli to check plugin versions: wp plugin list --status=active. Look for GetContentFromURL versions prior to the patched version (once released).
• generic web: Monitor access logs for outbound requests to unusual or internal IP addresses originating from the WordPress server.
grep "gcfu shortcode" /var/log/apache2/access.log | grep "internal.domain.com" disclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずGetContentFromURLプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、wpsaferemote_get()を使用するようにプラグインのコードを修正するか、プラグインの使用を一時的に停止することを検討してください。また、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。WordPressのセキュリティプラグインでSSRF攻撃を検知するルールを追加することも有効な対策となります。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14613は、WordPressのGetContentFromURLプラグインにおけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。攻撃者が内部サービスにアクセスできる可能性があります。
WordPressサイトでGetContentFromURLプラグインのバージョン1.0.0~1.0を使用している場合、この脆弱性の影響を受ける可能性があります。
GetContentFromURLプラグインを最新バージョンにアップデートしてください。アップデートが困難な場合は、コード修正やプラグインの使用停止を検討してください。
現時点では公的なPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後悪用される可能性があります。
プラグイン開発者のウェブサイトまたはWordPressの公式セキュリティアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。