HIGHCVE-2025-1565CVSS 7.5

Mayosis Core <= 5.4.1 - 認証されていない任意のファイル読み出し

Q: CVE-2025-1565 — 任意ファイルアクセス in Mayosis Coreとは何ですか？

CVE-2025-1565は、WordPressプラグインMayosis Coreのバージョン0.0.0から5.4.1において、認証されていない攻撃者が任意のファイルを読み取れるArbitrary File Access脆弱性です。

Q: CVE-2025-1565 in Mayosis Coreに影響を受けますか？

Mayosis Coreプラグインをバージョン0.0.0から5.4.1で利用しているWordPressサイトは影響を受けます。

Q: CVE-2025-1565 in Mayosis Coreを修正するにはどうすればよいですか？

Mayosis Coreプラグインを最新バージョンにアップデートしてください。

Q: CVE-2025-1565は積極的に悪用されていますか？

現時点では具体的な悪用事例は報告されていませんが、Arbitrary File Access脆弱性は悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2025-1565のMayosis Core公式アドバイザリはどこで入手できますか？

Mayosis Coreの公式ウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。

プラットフォーム

wordpress

コンポーネント

mayosis-core

修正版

5.4.2

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-1565は、WordPressプラグインMayosis CoreにおけるArbitrary File Access脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしでサーバー上の任意のファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。影響を受けるバージョンは0.0.0から5.4.1です。開発者は最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスできるため、深刻な影響をもたらす可能性があります。例えば、データベースの構成ファイル、APIキー、ソースコードなどの機密情報が漏洩する可能性があります。攻撃者は、これらの情報を利用して、さらなる攻撃を仕掛けたり、システムを完全に制御したりする可能性があります。特に、WordPressサイトが機密情報を保存している場合、この脆弱性の影響は甚大です。攻撃者は、この脆弱性を利用して、Webサイトの改ざん、データの窃取、さらにはサーバー全体の乗っ取りといった攻撃を実行する可能性があります。

悪用の状況

CVE-2025-1565は、2025年4月25日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、Arbitrary File Access脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。公開されているPoCコードが存在するかどうかは不明ですが、セキュリティコミュニティの動向を注視する必要があります。

リスク対象者翻訳中…

WordPress websites using the Mayosis Core plugin, particularly those running versions 0.0.0 through 5.4.1, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable, as attackers could potentially leverage this vulnerability to access files belonging to other users on the same server.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'remote_dl.php' /var/www/html/wp-content/plugins/mayosis-core/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/mayosis-core/library/wave-audio/peaks/remote_dl.php

• wordpress / composer / npm:

wp plugin list --status=inactive | grep mayosis-core

攻撃タイムライン

2025-04-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.25% (79% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmayosis-core

ベンダーTeconceTheme

影響範囲修正版

0 – 5.4.15.4.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-02-21
公開日2025-04-25
更新日2026-04-08
EPSS 更新日2026-03-23

未パッチ — 公開から394日経過

緩和策と回避策

この脆弱性への対応策として、まずMayosis Coreプラグインを最新バージョンにアップデートすることが最も重要です。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、library/wave-audio/peaks/remote_dl.phpファイルへのアクセスを制限することを検討してください。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないディレクトリやファイルが存在しないようにすることも重要です。ファイルパーミッションの設定ミスは、攻撃者が脆弱性を悪用する際の足がかりとなる可能性があります。

修正方法翻訳中…

Actualice el plugin Mayosis Core a la última versión disponible para solucionar esta vulnerabilidad.  Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización.  Esta actualización corrige la vulnerabilidad de lectura arbitraria de archivos, protegiendo su sitio web de accesos no autorizados a archivos sensibles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-1565 — 任意ファイルアクセス in Mayosis Coreとは何ですか？