HIGHCVE-2025-30582CVSS 8.1

WordPress DyaPress ERP/CRM プラグイン <= 18.0.2.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2025-30582 — パス・トラバーサル脆弱性とはDyaPress ERP/CRMで何ですか？

CVE-2025-30582は、DyaPress ERP/CRMにおいて、攻撃者がファイルシステムを探索し、機密情報にアクセスできるパス・トラバーサル脆弱性です。PHPローカルファイルインクルージョンを許容します。

Q: CVE-2025-30582でDyaPress ERP/CRMを使用しています。影響を受けますか？

DyaPress ERP/CRMのバージョンが0.0.0から18.0.2.0までの場合は、この脆弱性の影響を受けます。バージョン18.0.3以降にアップデートしてください。

Q: CVE-2025-30582でDyaPress ERP/CRMを修正するにはどうすればよいですか？

DyaPress ERP/CRMをバージョン18.0.3以降にアップデートしてください。アップデートが困難な場合は、WAFの設定やファイルアクセス権限の調整などの対策を講じてください。

Q: CVE-2025-30582は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易なため、早期に悪用される可能性があります。

Q: CVE-2025-30582に関するDyaPress ERP/CRMの公式アドバイザリはどこで入手できますか？

DyaPress ERP/CRMの公式アドバイザリは、aytechnetのウェブサイトで確認できます。詳細は、関連するセキュリティ情報を参照してください。

プラットフォーム

wordpress

コンポーネント

dyapress

修正版

18.0.3

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-30582は、aytechnet DyaPress ERP/CRMにおけるパス・トラバーサル脆弱性です。この脆弱性は、攻撃者がPHPローカルファイルインクルージョンを実行することを可能にし、システム上の機密ファイルにアクセスするリスクがあります。影響を受けるバージョンは0.0.0から18.0.2.0までのDyaPress ERP/CRMです。バージョン18.0.3へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はDyaPress ERP/CRMのファイルシステムを自由に探索し、機密情報（データベースの認証情報、ソースコード、設定ファイルなど）を窃取する可能性があります。さらに、ローカルファイルインクルージョンを通じて悪意のあるコードを実行し、システムを完全に制御するリスクも存在します。攻撃者は、Webサーバーのコンテキストでコードを実行できるため、他のシステムへの横展開も可能になる可能性があります。この脆弱性は、Log4Shellのようなサプライチェーン攻撃の起点となる可能性も否定できません。

悪用の状況

CVE-2025-30582は、2025年4月10日に公開されました。現時点では、KEVに登録されていません。公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易なため、早期に悪用される可能性があります。NVDおよびCISAの情報を定期的に確認し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Organizations using DyaPress ERP/CRM, particularly those with older versions (0.0.0–18.0.2.0) and those with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one DyaPress ERP/CRM instance could potentially affect other tenants.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/dyapress/

• generic web:

curl -I http://your-dyapress-server.com/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --all | grep dyapress

攻撃タイムライン

2025-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.26% (49% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdyapress

ベンダーaytechnet

影響範囲修正版

0.0.0 – 18.0.2.018.0.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-03-24
公開日2025-04-10
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

DyaPress ERP/CRMをバージョン18.0.3以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定してください。また、ファイルアクセス権限を適切に設定し、不要なファイルの読み取りアクセスを制限することも有効です。ファイルインクルージョンの可能性を低減するために、入力値の検証を強化し、ファイルパスをサニタイズするなどの対策も検討してください。

修正方法翻訳中…

Actualice el plugin DyaPress ERP/CRM a la última versión disponible para solucionar la vulnerabilidad de inclusión de archivos locales.  Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización.  Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-30582 — パス・トラバーサル脆弱性とはDyaPress ERP/CRMで何ですか？