プラットフォーム
wordpress
コンポーネント
backup-backup
修正版
2.0.1
Backup Migration WordPress プラグインは、認証チェックの欠如により、Missing Authorization 脆弱性(CVE-2025-14944)の影響を受けます。この脆弱性により、攻撃者はバックアップアップロードキューの処理をトリガーし、設定されたクラウドストレージターゲットへの予期しないバックアップ転送やリソースの枯渇を引き起こす可能性があります。影響を受けるバージョンは 0.0.0 から 2.0.0 までです。バージョン 2.1.0 以降にアップデートすることで、この脆弱性を修正できます。
この脆弱性は、認証されていない攻撃者が BackupBliss プラグインの 'initializeOfflineAjax' 関数を悪用することで、バックアップアップロードキューをトリガーできることを意味します。攻撃者は、プラグインの JavaScript に公開されているハードコードされたトークンを利用して、この機能を呼び出すことができます。これにより、攻撃者は意図しないバックアップ転送を開始し、クラウドストレージリソースを枯渇させ、潜在的に機密データを漏洩させる可能性があります。特に、バックアップ対象に機密情報が含まれる場合、この脆弱性の影響は大きくなります。攻撃者は、バックアッププロセスを悪用して、システムへのアクセスを確立しようとする可能性もあります。
CVE-2025-14944 は、2026年4月7日に公開されました。現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていません。しかし、脆弱性の性質上、攻撃者による悪用が懸念されます。EPSS スコアは、現時点では評価中ですが、公開されている脆弱性情報と、攻撃者が容易に悪用できる可能性を考慮すると、中程度の脅威レベルであると想定されます。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報を定期的に確認し、最新の脅威情報に注意してください。
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずBackupBliss WordPressプラグインをバージョン 2.1.0 以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、一時的な緩和策として、WAF (Web Application Firewall) を使用して、プラグインの 'initializeOfflineAjax' 関数への不正なアクセスをブロックできます。WAF ルールは、ハードコードされたトークンを検出し、それらを使用したリクエストを拒否するように設定する必要があります。また、プラグインの設定で、バックアップの頻度を減らすことで、リソースの枯渇のリスクを軽減できます。アップデート後、バックアッププロセスが正常に機能していることを確認してください。
バージョン2.1.0にアップデートするか、より新しいパッチバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
これは、BackupBliss WordPress プラグインの認証不備による脆弱性で、攻撃者がバックアップアップロードキューをトリガーし、リソース枯渇を引き起こす可能性があります。
BackupBliss WordPressプラグインのバージョンが 0.0.0~2.0.0 の場合、この脆弱性の影響を受けます。
BackupBliss WordPressプラグインをバージョン 2.1.0 以降にアップデートしてください。
現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていませんが、悪用される可能性はあります。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで、最新の情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。