HIGHCVE-2025-24765CVSS 7.7

WordPress Image Shadow プラグイン <= 1.1.0 - 任意のファイル削除の脆弱性

Q: CVE-2025-24765 — Path Traversal in Image Shadowとは何ですか？

CVE-2025-24765は、RobMarshのImage Shadowプラグインにおいて、攻撃者が任意のファイルを読み取れるPath Traversal脆弱性です。

Q: CVE-2025-24765 in Image Shadowで影響を受けますか？

Image Shadowのバージョンが0.0.0から1.1.0の場合は影響を受けます。バージョン1.1.1以上にアップデートすることで修正されます。

Q: CVE-2025-24765 in Image Shadowを修正するにはどうすればよいですか？

Image Shadowプラグインをバージョン1.1.1以上にアップデートしてください。アップデートが難しい場合は、WAFで不正なファイルアクセスをブロックすることを検討してください。

Q: CVE-2025-24765は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

Q: CVE-2025-24765に関するImage Shadowの公式アドバイザリはどこで入手できますか？

RobMarshの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

image-shadow

修正版

1.1.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-24765は、RobMarshのImage Shadowにおいて、Path Traversal（ディレクトリトラバーサル）脆弱性が存在することが判明しました。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み取ることが可能となり、機密情報の漏洩につながる可能性があります。Image Shadowのバージョン0.0.0から1.1.0が影響を受けますが、バージョン1.1.1でこの脆弱性は修正されています。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者がImage ShadowがインストールされているWordPress環境内の任意のファイルにアクセスすることを可能にします。攻撃者は、/etc/passwdやデータベース設定ファイルなど、機密情報を含むファイルを読み取る可能性があります。また、この脆弱性を悪用して、Webサーバーの他の部分へのアクセスを試み、さらなる攻撃を仕掛けることも考えられます。攻撃の成功は、Image Shadowの設定とWordPress環境のセキュリティ対策に依存します。

悪用の状況

この脆弱性は、2025年6月27日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

WordPress websites utilizing the Image Shadow plugin, particularly those running older versions (0.0.0–1.1.0), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/image-shadow/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/image-shadow/../../../../etc/passwd | head -n 1

攻撃タイムライン

2025-06-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.09% (26% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントimage-shadow

ベンダーRobMarsh

影響範囲修正版

0.0.0 – 1.1.01.1.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-01-23
公開日2025-06-27
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

Image Shadowのバージョンを1.1.1以上にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、Image Shadowのファイルアクセスを制限するカスタムコードを実装するか、Webアプリケーションファイアウォール（WAF）を使用して、不正なファイルアクセス試行をブロックすることを検討してください。WAFルールは、ディレクトリトラバーサル攻撃を検出するように設定する必要があります。アップデート後、Image Shadowの動作を検証し、意図しないファイルアクセスが発生していないことを確認してください。

修正方法翻訳中…

Actualice el plugin Image Shadow a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio.  Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio oficial de WordPress.org.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-24765 — Path Traversal in Image Shadowとは何ですか？