プラットフォーム
wordpress
コンポーネント
cm-download-manager
修正版
2.9.7
CVE-2025-30910は、CreativeMindsSolutions CM Download Managerにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み取ることが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは0.0.0から2.9.6までで、2.9.7以降で修正されています。
このパス・トラバーサル脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイル、ログファイル、または他の機密情報を含むファイルが読み取られる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの機密情報を盗み出し、さらなる攻撃に利用する可能性があります。この脆弱性は、Webサーバーのセキュリティを著しく損なう可能性があります。
この脆弱性は、2025年4月1日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。CISA KEVへの登録状況は確認されていません。
WordPress websites utilizing the CM Download Manager plugin, particularly those with older versions (0.0.0 - 2.9.6), are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cm-download-manager/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/cm-download-manager/../../../../etc/passwddisclosure
エクスプロイト状況
EPSS
0.38% (59% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずCM Download Managerをバージョン2.9.7以降にアップデートすることを推奨します。アップデートが困難な場合は、Webサーバーの設定でアクセス制限を強化し、ファイルへのアクセスを厳密に制御してください。また、WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。アクセスログを監視し、不審なアクセスパターンを検出することも重要です。アップデート後、アクセス権限を確認し、不要なファイルへのアクセスを制限してください。
Actualice el plugin CM Download Manager a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las notas de la versión del plugin para obtener instrucciones específicas de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-30910は、CreativeMindsSolutions CM Download Managerにおいて、攻撃者が本来アクセスできないファイルを読み取れるパス・トラバーサル脆弱性です。
はい、バージョン0.0.0から2.9.6までのCM Download Managerを使用している場合、この脆弱性により機密情報が漏洩する可能性があります。
CM Download Managerをバージョン2.9.7以降にアップデートしてください。アップデートが難しい場合は、Webサーバーの設定でアクセス制限を強化してください。
現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。
CreativeMindsSolutionsの公式アドバイザリは、通常、CreativeMindsSolutionsのウェブサイトまたはセキュリティブログで公開されます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。