無料スキャン
CRITICALCVE-2025-25107CVSS 9.6

WordPress OneStore Sites プラグイン <= 0.1.1 - CSRF による任意のプラグインインストール脆弱性

プラットフォーム

wordpress

コンポーネント

onestore-sites

修正版

0.1.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2025-25107は、WordPressプラグインsainwp OneStore Sitesにおけるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。この脆弱性を悪用されると、攻撃者はユーザーの権限を装って不正なリクエストを送信し、機密情報の窃取や設定の変更といった悪意のある操作を実行する可能性があります。影響を受けるバージョンは0.0.0から0.1.1までの範囲です。バージョン0.1.2へのアップデートで脆弱性が修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証されたユーザーのセッションを悪用し、ユーザーの権限で任意の操作を実行することを可能にします。例えば、攻撃者はユーザーが意図しない設定変更、不正なデータ削除、または機密情報の漏洩を引き起こす可能性があります。特に、管理者権限を持つユーザーが標的にされると、システム全体への影響が及ぶ可能性があります。類似のCSRF脆弱性は、Webアプリケーションにおける一般的な攻撃手法として知られており、ユーザーの入力検証やCSRFトークンの導入が不十分な場合に発生しやすいです。

悪用の状況

CVE-2025-25107は、2025年2月7日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。公開されているPoC(Proof of Concept)コードが存在するかどうかは不明です。CISA KEV(Known Exploited Vulnerabilities)カタログへの登録状況は確認されていません。

リスク対象者翻訳中…

WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H9.6CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントonestore-sites
ベンダーsainwp
影響範囲修正版
0.0.0 – 0.1.10.1.2

弱点分類 (CWE)

CWE-352

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

この脆弱性への対応として、まずsainwp OneStore Sitesをバージョン0.1.2にアップデートすることを推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRF対策を強化することを検討してください。WAF(Web Application Firewall)を導入し、CSRF攻撃のパターンを検知・防御するルールを設定することも有効です。また、ユーザーに対して、不審なリンクのクリックや入力の注意喚起を行うことで、攻撃のリスクを軽減できます。

修正方法

Cross-Site Request Forgery (CSRF) 脆弱性を軽減するために、OneStore Sites プラグインを最新バージョンにアップデートしてください。最新バージョンとアップデート手順については、WordPress.org のプラグインページを確認してください。入力検証と出力エンコードなどの追加のセキュリティ対策を実装して、将来の CSRF 攻撃を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-25107 — CSRF in sainwp OneStore Sitesとは何ですか?

CVE-2025-25107は、WordPressプラグインsainwp OneStore Sitesのバージョン0.0.0~0.1.1において、クロスサイトリクエストフォージェリ(CSRF)脆弱性が確認されたものです。攻撃者は、ユーザーの権限を悪用して不正な操作を実行する可能性があります。

CVE-2025-25107 in sainwp OneStore Sitesで影響を受けますか?

sainwp OneStore Sitesのバージョンが0.0.0から0.1.1の範囲にある場合は、影響を受けます。バージョン0.1.2にアップデートすることで脆弱性が修正されます。

CVE-2025-25107 in sainwp OneStore Sitesを修正するにはどうすればよいですか?

sainwp OneStore Sitesをバージョン0.1.2にアップデートしてください。アップデートが困難な場合は、WordPressのセキュリティプラグインでCSRF対策を強化するか、WAFを導入することを検討してください。

CVE-2025-25107は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。

CVE-2025-25107のsainwp OneStore Sitesの公式アドバイザリはどこで入手できますか?

sainwp OneStore Sitesの公式アドバイザリは、プラグインのアップデート情報や開発者のウェブサイトで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索