プラットフォーム
wordpress
コンポーネント
instawp-connect
修正版
0.1.1
InstaWP Connect – 1-click WP Staging & Migrationプラグインは、Local File Inclusionの脆弱性を抱えており、バージョン0.0.0から0.1.0.85までのインスタンスに影響を与えます。この脆弱性を悪用されると、攻撃者は認証なしでサーバー上の任意のファイルをインクルードし、実行することが可能となり、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。2025年4月11日に公開されており、最新バージョンへのアップデートが必要です。
このLocal File Inclusionの脆弱性は、攻撃者にとって非常に危険です。認証なしで任意のファイルをインクルードできるため、サーバー上の機密ファイル(設定ファイル、データベース接続情報など)を窃取したり、悪意のあるPHPコードをインクルードしてサーバーを完全に制御したりすることが可能です。特に、phpファイルタイプがアップロード可能である場合や、ローカルファイルシステムに既に存在するPHPファイルを利用することで、攻撃はより容易になります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。
この脆弱性は、2025年4月11日に公開されており、現時点では公的に利用可能なPoCは確認されていません。しかし、Local File Inclusionの脆弱性は悪用が容易であり、今後積極的に悪用される可能性があります。CISA KEVカタログへの登録状況は不明ですが、WordPressプラグインの脆弱性であるため、注意が必要です。
WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'instawp-database-manager' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep InstaWP Connect• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'disclosure
エクスプロイト状況
EPSS
10.16% (93% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずInstaWP Connectプラグインを最新バージョンにアップデートすることが最も重要です。アップデートが利用できない場合、一時的な回避策として、WordPressの.htaccessファイルに、instawp-database-managerパラメータへのアクセスを制限するルールを追加することを検討してください。また、WAF(Web Application Firewall)を導入し、不審なファイルインクルードリクエストをブロックすることも有効です。プラグインのファイルアクセス権限を適切に設定し、不要なファイルの書き込み権限を削除することも重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
Actualice el plugin InstaWP Connect a una versión corregida. La vulnerabilidad de inclusión de archivos locales no autenticados permite la ejecución de código arbitrario. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-2636は、InstaWP Connectプラグインのバージョン0.0.0~0.1.0.85において、攻撃者が認証なしで任意のファイルをインクルード・実行できるLocal File Inclusionの脆弱性です。
はい、InstaWP Connectプラグインのバージョン0.0.0~0.1.0.85を使用しているWordPressサイトは、この脆弱性により機密情報の漏洩やコード実行のリスクにさらされています。
InstaWP Connectプラグインを最新バージョンにアップデートすることが最も効果的な修正方法です。アップデートが利用できない場合は、.htaccessファイルでアクセス制限を設けるなどの回避策を検討してください。
現時点では公的なPoCは確認されていませんが、Local File Inclusionの脆弱性は悪用が容易であるため、今後積極的に悪用される可能性があります。
公式アドバイザリは、InstaWP ConnectのウェブサイトまたはWordPressプラグインリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。