プラットフォーム
wordpress
コンポーネント
login-customizer
修正版
2.5.4
2.5.4
Custom Login Page Customizerプラグインのバージョン2.5.3以前には、特権昇格の脆弱性が存在します。この脆弱性は、攻撃者がユーザーのパスワードを不正に変更することで、管理者権限を含む任意のユーザーのアクセス権を奪うことを可能にします。影響を受けるバージョンは2.5.3以前です。バージョン2.5.4でこの脆弱性が修正されました。
この脆弱性を悪用されると、攻撃者はCustom Login Page Customizerプラグインを使用しているWordPressサイトの管理者アカウントを乗っ取ることができます。これにより、攻撃者はサイトのコンテンツを改ざんしたり、悪意のあるコードを挿入したり、機密情報を盗み出したりすることが可能になります。攻撃者は、パスワードリセット機能を悪用し、任意のユーザーのパスワードをリセットすることで、アカウントを乗っ取ることができます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年1月8日に公開されました。現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。攻撃者は、WordPressサイトのパスワードリセット機能を悪用し、アカウントを乗っ取ろうとする可能性があります。
WordPress websites utilizing the Custom Login Page Customizer plugin, particularly those running versions prior to 2.5.4, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise on one site could potentially lead to lateral movement and impact other sites. Sites with weak password policies or a lack of multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r "wp_update_user_password" /var/www/html/wp-content/plugins/custom-login-page-customizer/• wordpress / composer / npm:
wp plugin list --status=active | grep 'custom-login-page-customizer'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status custom-login-page-customizerdisclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、Custom Login Page Customizerプラグインをバージョン2.5.4にアップデートすることを推奨します。アップデートできない場合は、プラグインの機能を一時的に無効化するか、WordPressのセキュリティプラグインを使用して、パスワードリセット機能を制限するなどの回避策を検討してください。また、WordPressのログイン試行回数を制限する設定や、二段階認証を有効にすることで、攻撃のリスクを軽減できます。アップデート後、プラグインの動作を確認し、パスワード変更機能が正常に動作することを確認してください。
バージョン2.5.4、またはそれ以降の修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14975は、Custom Login Page Customizerプラグインのバージョン2.5.3以前における、認証されていない攻撃者がユーザーのパスワードを不正に変更できる特権昇格の脆弱性です。
Custom Login Page Customizerプラグインのバージョン2.5.3以前を使用している場合、攻撃者に管理者アカウントを乗っ取られ、サイトのコンテンツを改ざんされたり、機密情報を盗まれたりする可能性があります。
Custom Login Page Customizerプラグインをバージョン2.5.4にアップデートしてください。アップデートできない場合は、プラグインの機能を一時的に無効化するか、パスワードリセット機能を制限するなどの回避策を検討してください。
現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。
Custom Login Page Customizerの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティ情報ページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。