プラットフォーム
wordpress
コンポーネント
prime-listing-manager
修正版
1.1.1
CVE-2025-14892は、WordPressプラグインPrime Listing Managerのバージョン0から1.1までの脆弱性です。この脆弱性は、攻撃者がアカウントを持たなくても管理者権限を昇格させ、不正な操作を実行することを可能にします。攻撃者は、ハードコードされたシークレットを利用して、認証なしで管理者権限を取得できます。最新バージョンへのアップデートを強く推奨します。
この脆弱性を悪用されると、攻撃者はWordPressサイトの管理者権限を容易に取得できます。これにより、サイトのコンテンツを改ざんしたり、悪意のあるコードを挿入したり、機密情報を盗み出したりすることが可能になります。さらに、攻撃者はサイトを悪意のある目的に利用したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、認証なしで管理者権限を取得できるため、攻撃の影響範囲は非常に広範になる可能性があります。
この脆弱性は、2026年2月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度と悪用の容易さから、早期に悪用される可能性があります。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、WordPressサイトを乗っ取り、機密情報を盗み出す可能性があります。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CVSS ベクトル
Prime Listing Managerプラグインを最新バージョンにアップデートすることが最も効果的な対策です。アップデートがすぐに利用できない場合は、プラグインを一時的に無効化するか、WordPressのセキュリティプラグインを使用して、不正なアクセスを試みる攻撃をブロックすることを検討してください。また、WordPressのセキュリティ設定を強化し、強力なパスワードを使用し、定期的にバックアップを作成することも重要です。WAFの導入も有効な対策となり得ます。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14892は、Prime Listing Manager WordPressプラグインバージョン0–1.1における、認証なしで管理者権限を昇格させられる脆弱性です。
Prime Listing Managerプラグインのバージョン0–1.1を使用しているWordPressサイトは、この脆弱性に影響を受けます。
Prime Listing Managerプラグインを最新バージョンにアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度から、早期に悪用される可能性があります。
Prime Listing Managerの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティアドバイザリサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。