プラットフォーム
wordpress
コンポーネント
images-optimizer
修正版
3.3.1
A/B Image Optimizerプラグインのバージョン0.0.0から3.3までのWordPressサイトにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が本来アクセスできないファイルを読み出すことを可能にし、機密情報の漏洩につながる可能性があります。バージョン3.3.1へのアップデートにより、この脆弱性は修正されています。
このパス・トラバーサル脆弱性を悪用すると、攻撃者はWordPressサイトのファイルシステムを探索し、機密情報を含むファイルを読み出すことが可能になります。例えば、設定ファイル、データベースのバックアップ、またはユーザーのアップロードしたファイルなどが標的となる可能性があります。攻撃者は、この情報を利用して、サイトの改ざん、不正アクセス、さらにはサーバー全体の侵害を試みる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクを孕んでいます。
この脆弱性は、2025年2月7日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照し、最新の動向を注視してください。
WordPress websites using the A/B Image Optimizer plugin, particularly those running older versions (0.0.0–3.3), are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/images-optimizer/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/images-optimizer/../../../../etc/passwd"disclosure
エクスプロイト状況
EPSS
25.69% (96% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、A/B Image Optimizerプラグインをバージョン3.3.1にアップデートすることを強く推奨します。アップデートが困難な場合は、プラグインを一時的に無効化するか、ファイルシステムへのアクセスを制限するWAF(Web Application Firewall)やセキュリティプラグインを導入することを検討してください。また、WordPressのファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも有効です。アップデート後、ファイルアクセス権限を確認し、不正なファイルへのアクセスがないか検証してください。
Actualice el plugin A/B Image Optimizer a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones del plugin directamente en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-25163は、A/B Image Optimizerプラグインのバージョン0.0.0~3.3において、攻撃者が本来アクセスできないファイルを読み出すことを可能にするパス・トラバーサル脆弱性です。
A/B Image Optimizerプラグインのバージョン0.0.0から3.3を使用している場合は、脆弱性の影響を受ける可能性があります。バージョン3.3.1にアップデートしてください。
A/B Image Optimizerプラグインをバージョン3.3.1にアップデートしてください。アップデートが難しい場合は、プラグインを無効化するか、WAFを導入することを検討してください。
現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。
WordPressの公式アドバイザリを参照してください。プラグインの公式サイトや、WordPressのセキュリティに関するニュースサイトでも情報が公開されている可能性があります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。