HIGHCVE-2025-26905CVSS 7.5

WordPress Estatik プラグイン <= 4.3.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2025-26905 — パストラバーサルはEstatikプラグインで何ですか？

CVE-2025-26905は、Estatik WordPressプラグインのバージョン0.0.0～4.3.0で、攻撃者がサーバー上のファイルを読み取れるファイルインクルージョン脆弱性です。

Q: CVE-2025-26905でEstatikプラグインを使用しています。影響を受けますか？

はい、Estatikプラグインのバージョンが0.0.0から4.3.0の場合、この脆弱性の影響を受けます。最新バージョンにアップデートしてください。

Q: CVE-2025-26905でEstatikプラグインを修正するにはどうすればよいですか？

Estatikプラグインを最新バージョンにアップデートすることで、この脆弱性は修正されます。WordPressの管理画面からアップデートを実行してください。

Q: CVE-2025-26905は積極的に悪用されていますか？

現時点では、CVE-2025-26905を悪用した具体的な攻撃事例は確認されていませんが、今後悪用される可能性はあります。

Q: CVE-2025-26905に関するEstatikの公式アドバイザリはどこで入手できますか？

Estatikの公式アドバイザリは、通常、EstatikのウェブサイトまたはWordPressプラグインリポジトリで確認できます。

プラットフォーム

wordpress

コンポーネント

estatik

修正版

4.3.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-26905は、Estatik WordPressプラグインにおけるパストラバーサル（ディレクトリトラバーサル）脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能となり、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。影響を受けるバージョンは0.0.0から4.3.0までの範囲です。プラグインのアップデートにより修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がEstatikプラグインを通じてサーバー上の機密ファイルにアクセスすることを可能にします。例えば、設定ファイル、データベースのバックアップ、または他のアプリケーションのソースコードなどが盗まれる可能性があります。攻撃者は、この脆弱性を利用して、Webサーバーの他の部分へのアクセス権を取得し、さらなる攻撃を仕掛けることも考えられます。ファイルインクルージョンの脆弱性は、しばしばリモートコード実行（RCE）へのエスカレーションの足がかりとなるため、深刻な影響をもたらす可能性があります。

悪用の状況

この脆弱性は、2025年2月25日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、ファイルインクルージョンの脆弱性は、攻撃者にとって非常に魅力的な標的であり、今後悪用される可能性は否定できません。公開されているPoCは確認されていません。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the Estatik plugin, particularly those running older versions (0.0.0 - 4.3.0), are at significant risk. Shared hosting environments are especially vulnerable, as a compromised Estatik installation on one site could potentially impact other sites on the same server. Users who have not implemented robust file upload validation or access controls are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/estatik/

• wordpress / composer / npm:

wp plugin list --status=active | grep estatik

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-content/uploads/../../../../etc/passwd | head -n 1

攻撃タイムライン

2025-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.09% (25% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントestatik

ベンダーwordfence

影響範囲修正版

0 – 4.3.04.3.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-02-17
公開日2025-02-25
更新日2026-04-28
EPSS 更新日2026-04-02

未パッチ — 公開から453日経過

緩和策と回避策

最も効果的な対策は、Estatikプラグインを最新バージョンにアップデートすることです。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、ファイルインクルージョンの試みをブロックすることを検討してください。また、WordPressの設定でファイルへのアクセス権を制限するなどの対策も有効です。プラグインのディレクトリ構造を複雑化し、攻撃者が容易にパスを推測できないようにすることも有効な手段です。アップデート後、プラグインのファイルアクセス権が適切に設定されていることを確認してください。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-26905 — パストラバーサルはEstatikプラグインで何ですか？

CVE-2025-26905は、Estatik WordPressプラグインのバージョン0.0.0～4.3.0で、攻撃者がサーバー上のファイルを読み取れるファイルインクルージョン脆弱性です。

CVE-2025-26905でEstatikプラグインを使用しています。影響を受けますか？

はい、Estatikプラグインのバージョンが0.0.0から4.3.0の場合、この脆弱性の影響を受けます。最新バージョンにアップデートしてください。

CVE-2025-26905でEstatikプラグインを修正するにはどうすればよいですか？

Estatikプラグインを最新バージョンにアップデートすることで、この脆弱性は修正されます。WordPressの管理画面からアップデートを実行してください。

CVE-2025-26905は積極的に悪用されていますか？

現時点では、CVE-2025-26905を悪用した具体的な攻撃事例は確認されていませんが、今後悪用される可能性はあります。

CVE-2025-26905に関するEstatikの公式アドバイザリはどこで入手できますか？

Estatikの公式アドバイザリは、通常、EstatikのウェブサイトまたはWordPressプラグインリポジトリで確認できます。

WordPress Estatik プラグイン <= 4.3.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-26905 — パストラバーサルはEstatikプラグインで何ですか？

CVE-2025-26905でEstatikプラグインを使用しています。影響を受けますか？

CVE-2025-26905でEstatikプラグインを修正するにはどうすればよいですか？

CVE-2025-26905は積極的に悪用されていますか？

CVE-2025-26905に関するEstatikの公式アドバイザリはどこで入手できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認