HIGHCVE-2025-23422CVSS 7.5

WordPress Store Locator プラグイン <= 3.98.10 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2025-23422 — Path Traversal in moaluko Store Locatorとは何ですか？

CVE-2025-23422は、moaluko Store Locatorのバージョン0.0.0～3.98.10において、パスの制限不備によりPHPローカルファイルインクルージョンが発生する脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密ファイルにアクセスする可能性があります。

Q: CVE-2025-23422 in moaluko Store Locatorの影響を受けていますか？

moaluko Store Locatorのバージョン0.0.0から3.98.10を使用している場合は、影響を受けています。バージョン3.98.11へのアップデートが必要です。

Q: CVE-2025-23422 in moaluko Store Locatorを修正するにはどうすればよいですか？

moaluko Store Locatorをバージョン3.98.11にアップデートしてください。アップデートが難しい場合は、WAFを導入し、アクセス権を制限するなどの対策を講じてください。

Q: CVE-2025-23422は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、Path Traversal脆弱性は悪用事例が多く、早期に悪用される可能性があります。

Q: CVE-2025-23422に関するmoaluko Store Locatorの公式アドバイザリはどこで入手できますか？

moaluko Store Locatorの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。

プラットフォーム

wordpress

コンポーネント

store-locator

修正版

3.98.11

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-23422は、moaluko Store Locatorにおいて、パスの制限不備（Path Traversal）によりPHPローカルファイルインクルージョンが発生する脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスし、システムを制御する可能性があります。影響を受けるバージョンは0.0.0から3.98.10までです。バージョン3.98.11へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がサーバー上の任意のファイルを読み取ることができるため、深刻な影響をもたらす可能性があります。攻撃者は、設定ファイル、データベースファイル、ソースコードなどの機密情報を盗み出すことができ、それらの情報を利用してシステムを完全に制御する可能性があります。特に、データベースファイルが漏洩した場合、ユーザーの個人情報や認証情報が漏洩するリスクがあります。この脆弱性は、Log4Shellのようなサプライチェーン攻撃の起点となる可能性も否定できません。

悪用の状況

この脆弱性は、2025年1月24日に公開されました。現時点では、KEVに登録されていませんが、Path Traversal脆弱性は悪用事例が多く、早期に悪用される可能性があります。公開されているPoCは確認されていませんが、攻撃者によるスキャンや脆弱性スプレッドの可能性を考慮し、迅速な対応が必要です。NVDおよびCISAの情報を常に監視し、最新の情報を入手するようにしてください。

リスク対象者翻訳中…

WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / plugin:

wp plugin list --status=inactive | grep store-locator

• wordpress / plugin:

wp plugin update --all

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure

• generic web:

 grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logs

攻撃タイムライン

2025-01-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.17% (38% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントstore-locator

ベンダーmoaluko

影響範囲修正版

0 – 3.98.103.98.11

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-01-16
公開日2025-01-24
更新日2026-04-28
EPSS 更新日2026-04-02

緩和策と回避策

まず、moaluko Store Locatorをバージョン3.98.11にアップデートすることを強く推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、Path Traversal攻撃を検知・防御するルールを設定してください。また、Store Locatorのディレクトリへのアクセス権を制限し、不要なファイルの公開を避けるように設定を見直してください。ファイルインクルージョンの試行を検知するために、アクセスログを監視し、異常なファイルアクセスを特定するアラートを設定することも有効です。

修正方法翻訳中…

Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-23422 — Path Traversal in moaluko Store Locatorとは何ですか？