プラットフォーム
wordpress
コンポーネント
custom-registration-form-builder-with-submission-manager
修正版
6.0.8
RegistrationMagicプラグインにおける特権昇格の脆弱性(CVE-2025-15403)は、WordPressのバージョン0.0.0から6.0.7.1までの環境に影響を与えます。この脆弱性を悪用されると、認証されていない攻撃者がプラグインのメニュー生成ロジックを操作し、管理者権限を獲得する可能性があります。バージョン6.0.7.2でこの問題は修正されています。
この脆弱性は、攻撃者がRegistrationMagicプラグインを通じてWordPressサイトの管理権限を奪取することを可能にします。攻撃者は、空のスラッグを注入することで、プラグインのメニュー生成ロジックを操作し、ターゲットロールに'manage_options'権限を付与できます。これにより、攻撃者はWordPressサイト全体を制御し、機密情報の窃取、データの改ざん、悪意のあるコードの実行など、広範囲にわたる損害を引き起こす可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく低下させる重大なリスクとなります。
この脆弱性は、認証されていない攻撃者によって悪用される可能性があります。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、悪用されるリスクは高いと考えられます。CISAのKEV(Known Exploited Vulnerabilities)カタログへの登録状況は不明です。NVD(National Vulnerability Database)は2026年1月17日に公開されました。
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
CVSS ベクトル
RegistrationMagicプラグインのバージョンを6.0.7.2以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、WordPressのセキュリティプラグインを使用して、悪意のあるリクエストをブロックすることを検討してください。また、WAF(Web Application Firewall)を導入し、'rmuserexists' AJAXアクションに対する不正なリクエストを検出・遮断するルールを設定することも有効です。プラグインのアップデート後、管理画面にログインし、メニュー設定が正常に機能していることを確認してください。
バージョン 6.0.7.2、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-15403は、WordPressプラグインRegistrationMagicのバージョン0.0.0~6.0.7.1に存在する特権昇格の脆弱性です。攻撃者はこの脆弱性を悪用して、管理者権限を奪取する可能性があります。
はい、WordPressサイトでRegistrationMagicプラグインのバージョン6.0.7.1以前を使用している場合、この脆弱性による影響を受ける可能性があります。
RegistrationMagicプラグインをバージョン6.0.7.2以降にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用されるリスクは高いと考えられます。
RegistrationMagicの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。