プラットフォーム
wordpress
コンポーネント
clover-online-orders
修正版
1.6.1
CVE-2025-15635は、ZAYTECH Smart Online Order for Cloverにおけるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまして、不正な操作を実行する可能性があります。影響を受けるバージョンは0.0.0から1.6.0までの範囲です。最新バージョンへのアップデートにより修正されています。
このCSRF脆弱性は、攻撃者が認証済みユーザーのセッションを悪用し、ユーザーの意図しない操作を実行することを可能にします。例えば、攻撃者はユーザーがログインしている状態で、注文の変更、設定の変更、またはその他の機密性の高いアクションを実行するリクエストを送信できます。これにより、データの改ざん、不正な注文の実行、またはアカウントの乗っ取りといった深刻な被害が発生する可能性があります。特に、管理権限を持つユーザーが攻撃対象となった場合、システム全体への影響が及ぶ可能性があります。
この脆弱性は、公開されている情報に基づき、攻撃者による悪用が懸念されます。KEVへの登録状況は不明ですが、CSRFは比較的容易に悪用可能な脆弱性であるため、注意が必要です。現時点では、公的なPoCは確認されていませんが、類似のCSRF攻撃事例が存在するため、早期の対策が推奨されます。2026年4月15日に公開されました。
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずZAYTECHが提供する最新バージョンへのアップデートを強く推奨します。アップデートが利用できない場合は、WordPressのプラグインセキュリティ設定を強化し、WAF(Web Application Firewall)を導入してCSRFトークン検証を有効にすることを検討してください。また、ユーザーに対して、不審なリンクをクリックしないように注意喚起することも重要です。アップデート後、CSRFトークンが正しく検証されていることを確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-15635は、ZAYTECH Smart Online Order for Cloverにおいて、攻撃者が認証済みユーザーになりすまして不正な操作を実行できるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。
はい、バージョン0.0.0から1.6.0までのSmart Online Order for Cloverを使用している場合、この脆弱性によって不正な操作のリスクがあります。
ZAYTECHが提供する最新バージョンへのアップデートが最も効果的な修正方法です。アップデートが利用できない場合は、WAFの導入やWordPressのセキュリティ設定強化を検討してください。
現時点では公的なPoCは確認されていませんが、CSRFは比較的容易に悪用可能な脆弱性であるため、悪用される可能性はあります。
ZAYTECHの公式ウェブサイトまたはWordPressプラグインリポジトリで、Smart Online Order for Cloverに関する最新のアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。