プラットフォーム
wordpress
コンポーネント
wpmastertoolkit
修正版
1.10.0
2.5.4
WPMasterToolKit (WPMTK) – All in one プラグインは、WordPress 用のプラグインであり、ディレクトリトラバーサル脆弱性 (CVE-2025-3300) が確認されています。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み書きすることが可能となり、機密情報の漏洩や改ざんにつながる可能性があります。影響を受けるバージョンは 1.0.0 から 1.15.0 であり、バージョン 2.5.4 で修正されています。
このディレクトリトラバーサル脆弱性は、認証された攻撃者(管理者権限以上)が、サーバー上のファイルシステムを自由に探索することを可能にします。攻撃者は、設定ファイル、データベースのバックアップ、ソースコードなど、機密性の高い情報を盗み出す可能性があります。また、攻撃者は、Web サーバーの設定ファイルを変更したり、悪意のあるコードを挿入したりすることで、Web サイト全体の制御を奪うことも可能です。この脆弱性は、WordPress サイトのセキュリティを著しく損なう可能性があります。類似の脆弱性は、過去に他の WordPress プラグインでも確認されており、攻撃者はこれらの脆弱性を悪用して、大規模なデータ漏洩やWeb サイトの改ざんを行う可能性があります。
CVE-2025-3300 は、2025年4月24日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。CISA の KEV カタログへの登録状況は不明です。この脆弱性は、WordPress サイトのセキュリティを脅かす重大なリスクであり、早急な対応が必要です。
WordPress websites using the WPMasterToolKit plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wpmastertoolkit/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/wpmastertoolkit/wp-content/../etc/passwddisclosure
エクスプロイト状況
EPSS
1.27% (79% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、WPMasterToolKit プラグインをバージョン 2.5.4 への最新バージョンにアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、またはアップデートによって互換性の問題が発生する場合は、プラグインを一時的に無効化することを検討してください。Web アプリケーションファイアウォール (WAF) を使用している場合は、ディレクトリトラバーサル攻撃をブロックするようにルールを設定してください。また、WordPress のファイルパーミッションを適切に設定し、Web サーバーがアクセスできないディレクトリへのアクセスを制限することも重要です。アップデート後、プラグインの動作を確認し、ファイルシステムへの不正アクセスがないことを確認してください。
Actualice el plugin WPMasterToolKit (WPMTK) – All in one plugin a la versión 2.5.4 o superior para mitigar la vulnerabilidad de Directory Traversal. Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, previniendo el acceso no autorizado a archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar el plugin.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-3300 は、WordPress の WPMasterToolKit プラグインにおけるディレクトリトラバーサル脆弱性であり、認証された攻撃者がサーバー上の任意のファイルを読み書きできる可能性があります。
WPMasterToolKit プラグインのバージョン 1.0.0 から 1.15.0 を使用している WordPress サイトは、この脆弱性の影響を受けます。
WPMasterToolKit プラグインをバージョン 2.5.4 への最新バージョンにアップデートしてください。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。
WPMasterToolKit プラグインの公式ウェブサイトまたは WordPress プラグインディレクトリで最新のアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。