HIGHCVE-2025-39473CVSS 8.1

WordPress Seofy Core プラグイン <= 1.6.8 - ローカルファイルインクルージョン脆弱性

Q: CVE-2025-39473 — パス・トラバーサル脆弱性 in Seofy Coreとは何ですか？

CVE-2025-39473は、WebGeniusLab Seofy Coreのバージョン0.0.0～1.6.8において、パス・トラバーサル脆弱性によりPHPローカルファイルインクルージョンが発生する脆弱性です。攻撃者はこれを利用して、ファイルシステム内の機密ファイルにアクセスする可能性があります。

Q: CVE-2025-39473 in Seofy Coreの影響を受けていますか？

Seofy Coreのバージョンが0.0.0から1.6.8までの場合は、この脆弱性の影響を受けています。バージョン1.6.11以降を使用している場合は、影響はありません。

Q: CVE-2025-39473 in Seofy Coreを修正するにはどうすればよいですか？

Seofy Coreのバージョンを1.6.11以降にアップデートしてください。アップデートが難しい場合は、Webサーバーの設定でSeofy Coreのディレクトリへのアクセスを制限するなどの対策を講じてください。

Q: CVE-2025-39473は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、公開されている脆弱性であるため、悪用される可能性は高いと考えられます。

Q: CVE-2025-39473に関するWebGeniusLabの公式アドバイザリはどこで入手できますか？

WebGeniusLabの公式アドバイザリは、今後の発表をお待ちください。Seofy Coreのリリースノートやサポートフォーラムをご確認ください。

プラットフォーム

wordpress

コンポーネント

seofy-core

修正版

1.6.9

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-39473は、WebGeniusLab Seofy Coreにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者がファイルシステム内の機密ファイルにアクセスすることを可能にし、システムへの不正な影響を及ぼす可能性があります。影響を受けるバージョンは0.0.0から1.6.8までです。修正版1.6.11がリリースされています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はSeofy Coreのインストールディレクトリ外にある任意のファイルを読み取ることができます。これにより、設定ファイル、ソースコード、データベース接続情報などの機密情報が漏洩する可能性があります。さらに、ローカルファイルインクルージョンを悪用して、悪意のあるコードを実行し、システムを完全に制御する可能性も否定できません。攻撃者は、WebGeniusLab Seofy Coreを介して、他のシステムへの攻撃の足がかりとして利用する可能性も考えられます。

悪用の状況

この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、KEVに登録されていませんが、CVSSスコアがHIGHであるため、攻撃の可能性は高いと考えられます。公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、早急な対応が必要です。

リスク対象者翻訳中…

WordPress websites utilizing the Seofy Core plugin, particularly those running versions 0.0.0 through 1.6.8, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as are sites with legacy configurations that haven't been regularly updated.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/seofy-core/*

• generic web:

curl -I http://example.com/wp-content/plugins/seofy-core/../../../../etc/passwd

攻撃タイムライン

2025-06-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントseofy-core

ベンダーwordfence

影響範囲修正版

0 – 1.6.81.6.9

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-04-16
公開日2025-06-09
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

Seofy Coreのバージョンを1.6.11以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定でSeofy Coreのディレクトリへのアクセスを制限する、またはファイルインクルージョンを防止するWAF（Web Application Firewall）を導入することを検討してください。また、Seofy Coreのディレクトリに機密情報を保存しないように構成を見直すことも重要です。アップデート後、Seofy Coreのファイルアクセス権限を確認し、不要なアクセスを制限してください。

修正方法

バージョン 1.6.11 へ、またはより新しい修正版にアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-39473 — パス・トラバーサル脆弱性 in Seofy Coreとは何ですか？