HIGHCVE-2025-15491CVSS 7.5

Post Slides <= 1.0.1 - 貢献者+ ローカルファイルインクルージョン

Q: CVE-2025-15491 — LFI in Post Slides WordPressプラグインとは何ですか？

CVE-2025-15491は、Post Slides WordPressプラグインのバージョン0–1.0.1におけるローカルファイルインクルージョンの脆弱性です。攻撃者は、この脆弱性を悪用して、認証されたユーザーとして任意のファイルを読み出す可能性があります。

Q: CVE-2025-15491 in Post Slides WordPressプラグインに影響を受けますか？

Post Slides WordPressプラグインのバージョン0–1.0.1を使用している場合は、影響を受けます。最新バージョン（1.0.2以降）にアップデートしてください。

Q: CVE-2025-15491 in Post Slides WordPressプラグインを修正するにはどうすればよいですか？

Post Slides WordPressプラグインをバージョン1.0.2以降にアップデートしてください。アップデートが困難な場合は、WAFなどの対策を講じることを検討してください。

Q: CVE-2025-15491は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性情報に基づき、攻撃者が悪用を試みる可能性があります。

Q: CVE-2025-15491に関するPost Slides WordPressプラグインの公式アドバイザリはどこで入手できますか？

Post Slides WordPressプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

post-slides

修正版

1.0.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Post Slides WordPressプラグインのバージョン0から1.0.1には、ローカルファイルインクルージョン（LFI）の脆弱性が存在します。この脆弱性は、短縮コード属性の検証が不十分なために発生し、認証されたユーザー（コントリビューター以上の権限を持つユーザー）が任意のファイルを読み出す可能性があります。脆弱性は2026年2月7日に公開され、最新バージョンへのアップデートで修正されています。

影響と攻撃シナリオ

このLFI脆弱性を悪用されると、攻撃者は認証されたユーザーとしてWordPressサイト上の機密ファイルにアクセスできます。これには、設定ファイル、テーマファイル、プラグインファイルなどが含まれます。攻撃者は、これらのファイルからデータベースの認証情報、APIキー、その他の機密情報を盗み出す可能性があります。さらに、攻撃者は、読み取ったファイルを改ざんしたり、悪意のあるコードを実行したりすることで、サイトの完全な制御を奪うことも可能です。WordPressサイトのセキュリティが侵害されると、ユーザーデータ漏洩、サービス停止、評判の低下など、深刻な被害が発生する可能性があります。

悪用の状況

この脆弱性は、認証されたユーザーが利用できるため、攻撃の難易度は比較的低いと考えられます。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性情報に基づき、攻撃者が悪用を試みる可能性があります。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites using the Post Slides plugin, particularly those with multiple users having contributor or higher roles, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable. Sites with outdated WordPress installations or weak security practices are at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "include(get_include_path()" /var/www/html/wp-content/plugins/post-slides/

• wordpress / composer / npm:

wp plugin list --status=all | grep "post-slides"

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/post-slides/ | grep -i "include"

攻撃タイムライン

2026-02-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (4% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpost-slides

ベンダーwordfence

影響範囲修正版

0 – 1.0.11.0.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-08
公開日2026-02-07
更新日2026-04-02
EPSS 更新日2026-03-23

未パッチ — 公開から106日経過

緩和策と回避策

Post Slidesプラグインをバージョン1.0.2以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用して、短縮コード属性の検証を強化するカスタムルールを作成することを検討してください。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルのアクセスを制限することも重要です。WAF（Web Application Firewall）を導入し、LFI攻撃のパターンを検知・ブロックするルールを設定することも有効です。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-15491 — LFI in Post Slides WordPressプラグインとは何ですか？