MEDIUMCVE-2025-46464CVSS 6.5

Ads Pro Plugin <= 5.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Q: CVE-2025-46464 とは何ですか？（Ads Pro の Cross-Site Scripting (XSS)）

格納型 (または永続的な) XSS は、悪意のあるコードがサーバーに保存され、その後、Web サイトを閲覧するユーザーに提供される Web セキュリティの脆弱性の種類です。

Q: Ads Pro の CVE-2025-46464 による影響を受けていますか？

Web サイトを予期しないリダイレクトや変更されたコンテンツなど、異常な活動がないか監視します。潜在的な脆弱性を特定するために、ペネトレーションテストを実行します。

Q: Ads Pro の CVE-2025-46464 を修正するにはどうすればよいですか？

影響を受けた Web サイトを隔離し、すべてのパスワードを変更し、包括的なセキュリティ監査を実行します。

Q: CVE-2025-46464 は積極的に悪用されていますか？

格納型および反射型を含む XSS 脆弱性を検出するのに役立つ Web セキュリティスキャンツールがいくつかあります。

Q: CVE-2025-46464 に関する Ads Pro の公式アドバイザリはどこで確認できますか？

CSP は、Web サイト管理者がブラウザがロードを許可されているリソースを制御できるようにするセキュリティメカニズムであり、XSS 攻撃を防ぐのに役立ちます。

プラットフォーム

wordpress

コンポーネント

ap-plugin-scripteo

修正版

5.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2025-46464 represents a Stored Cross-Site Scripting (XSS) vulnerability discovered within the Ads Pro Plugin for WordPress. This flaw allows authenticated attackers, possessing contributor-level access or greater, to inject malicious web scripts into pages. Successful exploitation can lead to the execution of arbitrary scripts when users access those compromised pages, potentially compromising user data or website functionality. The vulnerability affects versions of the plugin up to and including 5.0, and a fix is pending.

影響と攻撃シナリオ

CVE-2025-46464 は、scripteo の Ads Pro プラグインにおける、格納型クロスサイトスクリプティング (XSS) の脆弱性です。これは、攻撃者が Ads Pro によって生成された Web ページに悪意のあるコードを挿入でき、そのページを閲覧するユーザーのブラウザでそのコードが実行されることを意味します。ユーザー入力の適切な無効化が不十分であるため、このタイプの攻撃が可能になります。潜在的な影響には、セッション Cookie の窃盗、ユーザーを悪意のある Web サイトにリダイレクトする、Web ページのコンテンツの変更、ユーザーのコンテキストで任意のコードを実行することが含まれます。影響を受ける Ads Pro のバージョンは、n/a から 5.0 までです。この脆弱性は、格納型 XSS が Web サイトに永続的に残る可能性があるため、特に懸念されます。

悪用の状況

この脆弱性は、Ads Pro プラグインの入力フィールドに悪意のある JavaScript コードを挿入することによって悪用されます。このコードはデータベースに保存され、挿入されたコードを含む Web ページが表示されるたびに実行されます。攻撃者は、この脆弱性を悪用して、ユーザーアカウントを侵害したり、機密情報を盗んだり、ユーザーの名義で行うその他の悪意のあるアクションを実行する可能性があります。悪用の難易度は、Web サイトの構成と既存のセキュリティ対策によって異なります。修正プログラムがないため、悪用のリスクが高まります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントap-plugin-scripteo

ベンダーwordfence

影響範囲修正版

0.0.0 – 5.05.0.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-04-24
公開日2025-05-16
更新日2026-04-28
EPSS 更新日2026-03-23

未パッチ — 公開から373日経過

緩和策と回避策

現在、この脆弱性に対する公式な修正プログラムは提供されていません。最も効果的な即時の軽減策は、5.0 より新しいバージョンが利用可能になったら Ads Pro を更新することです。その間は、ユーザー入力の厳格な検証とサニタイズなど、追加のセキュリティ対策を実装することをお勧めします。Content Security Policy (CSP) を実装することも、ブラウザがロードを許可されているリソースを制御することで、XSS のリスクを軽減するのに役立ちます。Web サイトを不審な活動がないか監視し、定期的なセキュリティ監査を実施することが推奨されるプラクティスです。修正プログラムに関する Ads Pro 開発者 (scripteo) に連絡することが重要です。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-46464 とは何ですか？（Ads Pro の Cross-Site Scripting (XSS)）