プラットフォーム
wordpress
コンポーネント
groundhogg
修正版
4.1.2
Groundhogg CRMは、WordPress向けのCRM、ニュースレター、およびマーケティングオートメーションプラグインです。CVE-2025-4206は、このプラグインのバージョン0.0.0から4.1.1.2までの間で、processexportdeleteおよびprocessimportdelete関数における不十分なファイルパス検証により、任意ファイル削除の脆弱性が存在します。認証された攻撃者は、管理者権限以上のアクセス権を持つことで、サーバー上の任意のファイルを削除でき、wp-config.phpのような重要なファイルを削除することでリモートコード実行に繋がる可能性があります。最新バージョンへのアップデートを推奨します。
この脆弱性を悪用されると、認証された攻撃者はGroundhogg CRMをインストールしているWordPressサイト上の任意のファイルを削除できます。特に、wp-config.phpのような重要な設定ファイルを削除されると、攻撃者はWordPressサイトの完全な制御を獲得し、機密情報の窃取、改ざん、または悪意のあるコードの実行が可能になります。攻撃者は、削除されたファイルの内容を置き換え、バックドアを仕込むことも考えられます。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。攻撃者は、Groundhogg CRMの管理画面にログインし、ファイル削除機能を悪用することで、容易に攻撃を実行できる可能性があります。
この脆弱性は、2025年5月9日に公開されました。現時点では、公開されているPoCは確認されていませんが、任意ファイル削除の脆弱性は悪用が容易であり、今後PoCが公開される可能性があります。CISA KEVリストへの登録状況は不明です。攻撃者は、Groundhogg CRMの管理画面にログインし、ファイル削除機能を悪用することで、容易に攻撃を実行できる可能性があります。
Websites utilizing Groundhogg plugin versions 0.0.0 through 4.1.1.2 are at risk, particularly those with administrator accounts that have weak passwords or have been compromised. Shared hosting environments where WordPress installations share resources and user permissions are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'process_export_delete' /var/www/html/wp-content/plugins/groundhogg/• wordpress / composer / npm:
wp plugin list --status=active | grep groundhogg• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/groundhogg/ | grep -i 'process_export_delete'disclosure
エクスプロイト状況
EPSS
5.71% (90% パーセンタイル)
CISA SSVC
CVSS ベクトル
Groundhogg CRMのバージョン4.1.1.2より前のバージョンを使用している場合は、直ちに最新バージョンにアップデートしてください。アップデートが困難な場合は、WordPressのファイルパーミッションを適切に設定し、Groundhogg CRMのディレクトリへのアクセスを制限することで、攻撃のリスクを軽減できます。また、WAF(Web Application Firewall)を導入し、不審なファイル削除リクエストをブロックすることも有効です。ファイルパスの検証を強化するカスタムコードを実装することも検討できますが、専門家の支援を受けることを推奨します。アップデート後、Groundhogg CRMのファイルパーミッションが適切に設定されていることを確認してください。
Actualice el plugin Groundhogg a la última versión disponible para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes autenticados eliminen archivos sensibles en el servidor, como wp-config.php.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-4206は、Groundhogg CRMのバージョン0.0.0~4.1.1.2において、認証された攻撃者がwp-config.phpなどのファイルを削除し、リモートコード実行を可能にする、任意ファイル削除の脆弱性です。
はい、Groundhogg CRMのバージョン4.1.1.2より前のバージョンを使用している場合、攻撃者はwp-config.phpなどのファイルを削除し、WordPressサイトの完全な制御を獲得する可能性があります。
直ちにGroundhogg CRMを最新バージョン(4.1.1.2以降)にアップデートしてください。アップデートが困難な場合は、ファイルパーミッションの変更などの緩和策を実施してください。
現時点では、公開されているPoCは確認されていませんが、任意ファイル削除の脆弱性は悪用が容易であり、今後悪用される可能性があります。
Groundhogg CRMの公式ウェブサイトまたはWordPressプラグインリポジトリで、CVE-2025-4206に関するアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。