プラットフォーム
wordpress
コンポーネント
jkdevkit
修正版
1.9.5
JKDEVKIT WordPressプラグインのバージョン1.0.0から1.9.4には、ファイルパスの検証が不十分なため、認証された攻撃者がサーバー上の任意のファイルを削除できる脆弱性(CVE-2025-2932)が存在します。この脆弱性を悪用されると、wp-config.phpなどの重要なファイルを削除し、リモートコード実行に繋がる可能性があります。2025年7月3日に公開されており、最新バージョンへのアップデートで対応が可能です。
この脆弱性は、認証された攻撃者がSubscriberレベル以上のアクセス権を持つ場合に悪用可能です。攻撃者は、fontuploadhandler関数におけるファイルパスの検証の不備を利用して、サーバー上の任意のファイルを削除できます。例えば、wp-config.phpファイルを削除することで、WordPressの設定ファイルが失われ、サイトが完全に停止する可能性があります。さらに、攻撃者は削除したファイルを悪意のあるコードで置き換えることで、リモートコード実行を達成し、サーバーを完全に制御する可能性があります。WooCommerceが有効な環境では、Contributorレベル以上のアクセス権で攻撃が可能となります。
CVE-2025-2932は、2025年7月3日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、WordPressプラグインの脆弱性はしばしば悪用されるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照し、最新の状況を把握することが重要です。
WordPress sites utilizing the JKDEVKIT plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also at increased risk, as are sites that haven't implemented robust file upload validation.
• wordpress / composer / npm:
grep -r 'font_upload_handler' /var/www/html/wp-content/plugins/jkdevkit/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/jkdevkit/font_upload_handler• wordpress / composer / npm:
wp plugin list --status=inactive | grep jkdevkitdisclosure
エクスプロイト状況
EPSS
1.27% (79% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずJKDEVKIT WordPressプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)やリバースプロキシを設定し、fontuploadhandler関数への不正なアクセスをブロックするルールを実装してください。また、wp-config.phpファイルへのアクセスを制限するファイルシステム権限の設定も有効です。アップデート後、プラグインの動作確認を行い、ファイル削除の試行がないかログを監視してください。
Actualice el plugin JKDEVKIT a la última versión disponible para mitigar la vulnerabilidad de eliminación arbitraria de archivos. Verifique que la validación de rutas de archivos sea adecuada para prevenir accesos no autorizados. Considere limitar los permisos de los usuarios a los estrictamente necesarios para reducir el riesgo de explotación.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-2932は、JKDEVKIT WordPressプラグインのバージョン1.0.0~1.9.4において、ファイルパスの検証不備により、認証された攻撃者がサーバー上の任意のファイルを削除できる脆弱性です。
Subscriberレベル以上のアクセス権を持つユーザーがいるWordPressサイト、特にWooCommerceが有効な環境では、攻撃を受けるリスクがあります。
JKDEVKIT WordPressプラグインを最新バージョンにアップデートしてください。アップデートが困難な場合は、WAFやファイルシステム権限の設定で対策を講じてください。
現時点では公的なPoCは確認されていませんが、WordPressプラグインの脆弱性は悪用される可能性があるため、注意が必要です。
JKDEVKIT WordPress Pluginの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。