プラットフォーム
wordpress
コンポーネント
wp-ultimate-csv-importer
修正版
7.20.1
7.20.1
WP Ultimate CSV Importer – Import CSV, XML & Excel into WordPressプラグインにおいて、認証された攻撃者が任意のファイルを削除できる脆弱性(CVE-2025-2007)が発見されました。この脆弱性は、deleteImage()関数におけるファイルパスの検証不備が原因です。影響を受けるバージョンは0.0.0から7.20までですが、7.20.1で修正されています。
この脆弱性を悪用されると、認証された攻撃者(Subscriberレベル以上のアクセス権を持つ者)は、サーバー上の任意のファイルを削除できます。特に、wp-config.phpのような重要なファイルを削除することで、リモートコード実行(RCE)につながる可能性があります。攻撃者は、プラグインの機能を利用して、不正なファイルパスを送信し、サーバー上のファイルを削除する可能性があります。この攻撃は、WordPressサイトの完全な制御を奪うことにつながる重大なリスクをもたらします。
この脆弱性は、2025年4月1日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、WordPressサイトを乗っ取り、機密情報を盗み出したり、悪意のあるコードを実行したりする可能性があります。
WordPress websites using the WP Ultimate CSV Importer plugin, particularly those with Subscriber-level users who have access to import and export functionality, are at risk. Shared hosting environments where file permissions are less tightly controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r 'deleteImage(' /var/www/html/wp-content/plugins/wp-ultimate-csv-importer/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-ultimate-csv-importer'• wordpress / composer / npm:
wp plugin update wp-ultimate-csv-importer --alldisclosure
エクスプロイト状況
EPSS
5.63% (90% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、WP Ultimate CSV Importerプラグインをバージョン7.20.1にアップデートすることを強く推奨します。アップデートできない場合は、プラグインを一時的に無効化するか、ファイルシステムレベルで、攻撃者がアクセスできる可能性のあるファイルを保護するためのアクセス制限を設けてください。WAF(Web Application Firewall)を使用している場合は、不正なファイルパスを検知し、ブロックするルールを追加することを検討してください。また、wp-config.phpファイルのアクセス権を制限し、Webから直接アクセスできないように設定することも有効です。
Actualice el plugin WP Ultimate CSV Importer a la versión 7.20.1 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor o superiores puedan eliminar archivos sensibles en el servidor.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-2007は、WP Ultimate CSV ImporterプラグインのdeleteImage()関数におけるファイルパス検証不備により、認証された攻撃者が任意のファイルを削除できる脆弱性です。
はい、バージョン0.0.0~7.20を使用しているWordPressサイトは影響を受けます。wp-config.phpを削除することでリモートコード実行につながる可能性があります。
WP Ultimate CSV Importerプラグインをバージョン7.20.1にアップデートしてください。アップデートできない場合は、プラグインを無効化するか、ファイルシステムレベルでアクセス制限を設けてください。
現時点では公開PoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。
プラグインの公式サイトまたは開発者のウェブサイトで最新のアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。