プラットフォーム
wordpress
コンポーネント
countdown-builder
修正版
2.8.10
CVE-2025-2270は、WordPressプラグインCountdown, Coming Soon, Maintenance – Countdown & ClockにおけるLocal File Inclusion (LFI) の脆弱性です。この脆弱性は、攻撃者がサーバー上のファイルをインクルードし、実行可能なPHPコードを挿入することを可能にし、機密情報の窃取やコード実行につながる可能性があります。影響を受けるバージョンは0.0.0から2.8.9.1までですが、バージョン2.8.10で修正されています。
このLFI脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能になります。特に、PHPファイルがインクルードされる場合、攻撃者はサーバー上で任意のコードを実行し、Webサイトを完全に制御する可能性があります。機密情報(データベースの認証情報、APIキーなど)が漏洩するリスクも高く、さらなる攻撃への踏み台として利用される可能性も否定できません。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大な脅威となります。
この脆弱性は、2025年4月4日に公開されました。現時点では、このCVEに関連する公開されたPoCは確認されていませんが、LFI脆弱性は悪用が容易であるため、早期に悪用される可能性があります。CISA KEVカタログへの登録状況は確認されていません。攻撃者は、この脆弱性を利用してWordPressサイトを乗っ取り、機密情報を窃取したり、悪意のあるコードを実行したりする可能性があります。
Websites utilizing the Countdown, Coming Soon, Maintenance – Countdown & Clock plugin, particularly those running older, unpatched versions (0.0.0–2.8.9.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'createCdObj' /var/www/html/wp-content/plugins/countdown-coming-soon-maintenance-countdown-clock/• wordpress / composer / npm:
wp plugin list | grep 'Countdown, Coming Soon, Maintenance'• wordpress / composer / npm:
wp plugin update countdown-coming-soon-maintenance-countdown-clockdisclosure
エクスプロイト状況
EPSS
0.65% (71% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、WordPressプラグインCountdown, Coming Soon, Maintenance – Countdown & Clockをバージョン2.8.10にアップデートすることを強く推奨します。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ファイルシステムレベルでcreateCdObj関数のアクセスを制限するなどの回避策を検討してください。WAF(Web Application Firewall)を導入し、LFI攻撃のパターンを検知・防御するルールを設定することも有効です。アップデート後、プラグインの動作を確認し、想定通りの機能が正常に動作していることを確認してください。
Actualice el plugin Countdown, Coming Soon, Maintenance – Countdown & Clock a la versión 2.8.10 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique que su instalación de WordPress esté actualizada y que tenga las últimas medidas de seguridad implementadas. Considere utilizar un plugin de seguridad de WordPress para una protección adicional.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-2270は、WordPressプラグインCountdown, Coming Soon, Maintenance – Countdown & Clockのバージョン0.0.0~2.8.9.1におけるLocal File Inclusion (LFI) の脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の任意のファイルを読み取ったり、コードを実行したりする可能性があります。
Countdown, Coming Soon, Maintenance – Countdown & Clockプラグインのバージョン0.0.0から2.8.9.1を使用している場合は、影響を受けます。バージョン2.8.10にアップデートすることで、この脆弱性を修正できます。
WordPressプラグインCountdown, Coming Soon, Maintenance – Countdown & Clockをバージョン2.8.10にアップデートしてください。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ファイルシステムレベルでアクセスを制限するなどの回避策を検討してください。
現時点では、このCVEに関連する公開されたPoCは確認されていませんが、LFI脆弱性は悪用が容易であるため、早期に悪用される可能性があります。
プラグインの公式ウェブサイトまたはWordPressプラグインディレクトリで最新情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。