プラットフォーム
wordpress
コンポーネント
jay-login-register
修正版
2.6.04
JAY Login & Registerプラグインは、WordPressサイトのユーザー登録とログイン機能を拡張するプラグインです。CVE-2025-15027は、このプラグインのバージョン0.0.0から2.6.03までのユーザーメタ更新機能に存在する特権昇格の脆弱性です。攻撃者は認証なしでこの脆弱性を悪用し、管理者権限を奪取する可能性があります。バージョン2.6.04でこの問題が修正されています。
この脆弱性を悪用されると、攻撃者は認証なしでWordPressサイトの管理者権限を奪取できます。これにより、サイト全体のコンテンツを改ざんしたり、機密情報を盗み出したり、悪意のあるコードを実行したりすることが可能になります。攻撃者は、不正なユーザーアカウントを作成し、管理者権限を付与することで、サイトを完全に制御する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。攻撃者は、既存のユーザーアカウントを悪用して、管理者権限を昇格させる可能性があります。
この脆弱性は、2026年2月8日に公開されました。現時点では、公開されているPoC (Proof of Concept) は確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEV (Known Exploited Vulnerabilities) カタログへの登録状況は確認されていません。この脆弱性は、WordPressサイトのセキュリティを脅かす重大なリスクであり、早急な対応が必要です。
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずJAY Login & Registerプラグインをバージョン2.6.04以上にアップデートすることを推奨します。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ユーザーメタ更新機能を制限するカスタムコードを実装することを検討してください。また、WordPressのセキュリティプラグインを使用して、不正なユーザーメタ更新の試行を監視することも有効です。WAF (Web Application Firewall) を導入し、特定の攻撃パターンをブロックすることも有効な対策となります。
バージョン 2.6.04、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-15027は、JAY Login & Registerプラグインのバージョン0.0.0~2.6.03において、認証されていない攻撃者が管理者権限を奪取できる特権昇格の脆弱性です。
JAY Login & Registerプラグインのバージョン0.0.0から2.6.03を使用しているWordPressサイトは、この脆弱性に影響を受けます。
JAY Login & Registerプラグインをバージョン2.6.04以上にアップデートしてください。
現時点では公開されているPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。
JAY Login & Registerプラグインの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。