プラットフォーム
wordpress
コンポーネント
bp-xprofile-custom-field-types
修正版
1.2.9
BuddyPress Xprofile Custom Field Typesプラグインにおいて、ファイルパスの検証が不十分なため、認証された攻撃者がサーバー上の任意のファイルを削除できる脆弱性(CVE-2025-14997)が発見されました。この脆弱性は、バージョン1.0.0から1.2.8までのプラグインに影響を与えます。攻撃者はwp-config.phpなどの重要なファイルを削除することで、リモートコード実行を試みる可能性があります。バージョン1.3.0へのアップデートが推奨されます。
この脆弱性を悪用されると、攻撃者はWordPressサイトのサーバー上で任意のファイルを削除できるようになります。特に、wp-config.phpファイルが削除された場合、データベースへのアクセスや設定ファイルの改ざんが可能となり、サイト全体の制御を奪われるリスクがあります。攻撃者は、削除したファイルの上書きや、悪意のあるコードの挿入などを通じて、サイトの改ざん、情報窃取、さらにはサーバー全体の乗っ取りといった深刻な被害をもたらす可能性があります。この脆弱性は、ファイル削除という直接的な攻撃経路を持つため、迅速な対応が求められます。
この脆弱性は、認証された攻撃者(Subscriber以上の権限を持つユーザー)が利用可能です。現時点では、公開されているPoCは確認されていませんが、ファイル削除の脆弱性は悪用が容易であるため、注意が必要です。CISA KEVへの登録状況は不明です。NVD(National Vulnerability Database)は2026年1月6日に公開されました。
WordPress websites utilizing the BuddyPress Xprofile Custom Field Types plugin in versions 1.0.0 through 1.2.8 are at risk. This includes sites with Subscriber-level user roles, as these users are sufficient to exploit the vulnerability. Shared hosting environments are particularly vulnerable, as they often have limited access controls and a higher density of WordPress installations.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin version 'BuddyPress Xprofile Custom Field Types'• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/buddybp-xprofile-custom-field-types/ -name 'delete_field.php'• wordpress / composer / npm:
wp plugin list | grep 'BuddyPress Xprofile Custom Field Types' && wp plugin path 'BuddyPress Xprofile Custom Field Types'disclosure
エクスプロイト状況
EPSS
0.94% (76% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、BuddyPress Xprofile Custom Field Typesプラグインをバージョン1.3.0にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインの無効化を検討してください。WAF(Web Application Firewall)を導入し、ファイル削除に関連するリクエストをブロックするルールを設定することも有効です。また、WordPressのファイルアクセス権限を適切に設定し、攻撃者がアクセスできるファイルを制限することも重要です。アップデート後、wp-config.phpファイルが存在し、適切な権限で設定されていることを確認してください。
バージョン 1.3.0、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14997は、BuddyPress Xprofile Custom Field Typesプラグインのバージョン1.0.0~1.2.8において、ファイルパスの検証不備により認証された攻撃者が任意のファイルを削除できる脆弱性です。
BuddyPress Xprofile Custom Field Typesプラグインのバージョン1.0.0から1.2.8を使用しているWordPressサイトは影響を受けます。
BuddyPress Xprofile Custom Field Typesプラグインをバージョン1.3.0にアップデートしてください。
現時点では公開PoCは確認されていませんが、ファイル削除の脆弱性は悪用が容易であるため、注意が必要です。
公式アドバイザリは、プラグインの公式ウェブサイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。