CRITICALCVE-2025-30967CVSS 9.6

WordPress WPJobBoard プラグイン < 5.11.1 - CSRF によるリモートコード実行 (RCE) の脆弱性

Q: CVE-2025-30967 — RCEのWPJobBoardプラグインとは何ですか？

CVE-2025-30967は、WPJobBoardプラグインのクロスサイトリクエストフォージェリ（CSRF）脆弱性により、攻撃者がWebシェルをサーバーにアップロードできるリモートコード実行（RCE）の脆弱性です。

Q: CVE-2025-30967のWPJobBoardプラグインは影響を受けますか？

WPJobBoardプラグインのバージョン0から5.11.1を使用している場合、この脆弱性の影響を受けます。

Q: CVE-2025-30967のWPJobBoardプラグインを修正するにはどうすればよいですか？

WPJobBoardプラグインをバージョン5.11.1にアップデートすることで修正できます。

Q: CVE-2025-30967は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されるため、迅速な対応が必要です。

Q: CVE-2025-30967のWPJobBoardプラグインの公式アドバイザリはどこで入手できますか？

WPJobBoardプラグインの公式アドバイザリは、開発者のウェブサイトで確認できます。

プラットフォーム

wordpress

コンポーネント

wpjobboard

修正版

5.11.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

WPJobBoardプラグインにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が発見されました。この脆弱性を悪用されると、攻撃者は認証されたユーザーになりすましてWebシェルをサーバーにアップロードし、リモートコードを実行する可能性があります。影響を受けるバージョンは、WPJobBoardプラグインのバージョン0から5.11.1までのものです。開発者はバージョン5.11.1へのアップデートを推奨しています。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Webシェルをサーバーにアップロードすることで、サーバー上のファイルシステムへのアクセス、機密データの窃取、さらにはサーバー全体の制御を奪うことが可能になります。Webシェルは、攻撃者がサーバーにコマンドを実行するためのバックドアとして機能し、長期間にわたってシステムに潜伏する可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。攻撃者は、認証されたユーザーのセッションを乗っ取ることで、この脆弱性を悪用する可能性があります。

悪用の状況

この脆弱性は、2025年4月15日に公開されました。現時点では、公開されているPoCは確認されていませんが、CSRFとRCEを組み合わせた攻撃手法は、過去にも確認されています。CISA KEVへの登録状況は不明です。攻撃者による悪用が懸念されるため、迅速な対応が必要です。

リスク対象者翻訳中…

Websites utilizing the WPJobBoard plugin, particularly those running older, unpatched versions (0.0 - 5.11.1), are at significant risk. Shared hosting environments where WordPress installations have limited access controls are especially vulnerable, as an attacker compromising one site could potentially exploit this vulnerability to gain access to others on the same server.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'wp_insert_file' /var/www/html/wp-content/plugins/wpjobboard/

• wordpress / composer / npm:

wp plugin list --status=active | grep wpjobboard

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/plugins/wpjobboard/ | grep Server

攻撃タイムライン

2025-04-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.12% (31% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwpjobboard

ベンダーNotFound

影響範囲修正版

0 – 5.11.05.11.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-03-26
公開日2025-04-15
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

WPJobBoardプラグインのバージョン5.11.1へのアップデートが最も効果的な対策です。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）を使用して、CSRF攻撃をブロックすることを検討してください。また、WordPressのセキュリティプラグインを使用して、CSRF対策を強化することも有効です。アクセスログを監視し、不審なリクエストを検出することも重要です。WordPressのセキュリティ設定を見直し、不要なプラグインを無効化することも推奨されます。

修正方法

WPJobBoardプラグインをバージョン5.11.1以降にアップデートすることで、リモートコード実行を可能にする可能性のあるCSRFの脆弱性を軽減します。アップデート前にウェブサイトのバックアップを作成してください。他のプラグインやテーマとのアップデート互換性を確認してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-30967 — RCEのWPJobBoardプラグインとは何ですか？

CVE-2025-30967は、WPJobBoardプラグインのクロスサイトリクエストフォージェリ（CSRF）脆弱性により、攻撃者がWebシェルをサーバーにアップロードできるリモートコード実行（RCE）の脆弱性です。

CVE-2025-30967のWPJobBoardプラグインは影響を受けますか？

WPJobBoardプラグインのバージョン0から5.11.1を使用している場合、この脆弱性の影響を受けます。

CVE-2025-30967のWPJobBoardプラグインを修正するにはどうすればよいですか？

WPJobBoardプラグインをバージョン5.11.1にアップデートすることで修正できます。

CVE-2025-30967は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されるため、迅速な対応が必要です。

CVE-2025-30967のWPJobBoardプラグインの公式アドバイザリはどこで入手できますか？

WPJobBoardプラグインの公式アドバイザリは、開発者のウェブサイトで確認できます。

WordPress WPJobBoard プラグイン < 5.11.1 - CSRF によるリモートコード実行 (RCE) の脆弱性

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-30967 — RCEのWPJobBoardプラグインとは何ですか？

CVE-2025-30967のWPJobBoardプラグインは影響を受けますか？

CVE-2025-30967のWPJobBoardプラグインを修正するにはどうすればよいですか？

CVE-2025-30967は積極的に悪用されていますか？

CVE-2025-30967のWPJobBoardプラグインの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認