HIGHCVE-2025-48085CVSS 7.1

WordPress Simple Stripe プラグイン <= 0.9.17 - Stored XSS へのつながる Cross Site Request Forgery (CSRF) 脆弱性

Q: CVE-2025-48085 — XSS in ZIPANG Simple Stripeとは何ですか？

CVE-2025-48085は、ZIPANG Simple Stripeのバージョン0.0.0～0.9.17に存在するCSRF脆弱性を悪用した保存型XSS攻撃を許容する問題です。

Q: CVE-2025-48085 in ZIPANG Simple Stripeに影響を受けますか？

ZIPANG Simple Stripeのバージョン0.0.0～0.9.17を使用している場合は、影響を受けます。最新バージョン（0.9.18）へのアップデートが必要です。

Q: CVE-2025-48085 in ZIPANG Simple Stripeを修正するにはどうすればよいですか？

Simple Stripeをバージョン0.9.18にアップデートしてください。アップデートが困難な場合は、WAFによる対策を検討してください。

Q: CVE-2025-48085は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、将来的な悪用リスクは高いと考えられます。

Q: CVE-2025-48085に関するZIPANG Simple Stripeの公式アドバイザリはどこで入手できますか？

ZIPANG Simple Stripeの公式ウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。

プラットフォーム

wordpress

コンポーネント

simple-stripe

修正版

0.9.18

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-48085は、ZIPANG Simple Stripeにおいて、クロスサイトリクエストフォージェリ（CSRF）の脆弱性を悪用した保存型クロスサイトスクリプティング（XSS）攻撃を許容する問題です。この脆弱性は、バージョン0.0.0から0.9.17までのSimple Stripeに影響を及ぼします。最新バージョン（0.9.18）へのアップデートが推奨されます。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はCSRF攻撃を仕掛け、ユーザーが意図しない操作を実行させることが可能になります。具体的には、悪意のあるスクリプトをユーザーのブラウザに注入し、セッション情報や個人情報などの機密データを窃取したり、不正な操作を実行したりする可能性があります。特に、管理者権限を持つユーザーが攻撃対象となった場合、システム全体への影響が拡大するリスクがあります。類似のXSS脆弱性は、Webサイトの改ざんやマルウェア感染の踏み台として悪用される事例が報告されています。

悪用の状況

CVE-2025-48085は、2025年11月6日に公開されました。現時点では、公的なPoCは確認されていませんが、CSRFとXSSの組み合わせは、攻撃者にとって魅力的な攻撃手法であり、将来的な悪用リスクは高いと考えられます。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Websites using the ZIPANG Simple Stripe plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "<script" /var/www/html/wp-content/plugins/simple-stripe/*

• wordpress / composer / npm:

wp plugin list --status=inactive | grep simple-stripe

• wordpress / composer / npm:

wp plugin update --all

• generic web: Check WordPress plugin directory for updates and security advisories related to Simple Stripe.

攻撃タイムライン

2025-11-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントsimple-stripe

ベンダーZIPANG

影響範囲修正版

0.0.0 – 0.9.170.9.18

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-05-15
公開日2025-11-06
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

まず、Simple Stripeをバージョン0.9.18にアップデートすることを強く推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、CSRFトークンの検証を強化するなどの対策を講じてください。また、WordPressのセキュリティプラグインを活用し、不審なリクエストを検知・遮断するルールを設定することも有効です。さらに、入力値のサニタイズを徹底し、XSS攻撃の根本的な原因を排除することが重要です。アップデート後、WAFの設定やWordPressプラグインの動作状況を確認し、脆弱性が解消されていることを検証してください。

修正方法

CSRF 脆弱性を緩和し、XSS コード実行につながる可能性を低減するために、Simple Stripe プラグインを最新バージョンにアップデートしてください。最新バージョンとアップデート手順については、WordPress.org のプラグインページをご確認ください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-48085 — XSS in ZIPANG Simple Stripeとは何ですか？

CVE-2025-48085は、ZIPANG Simple Stripeのバージョン0.0.0～0.9.17に存在するCSRF脆弱性を悪用した保存型XSS攻撃を許容する問題です。

CVE-2025-48085 in ZIPANG Simple Stripeに影響を受けますか？

ZIPANG Simple Stripeのバージョン0.0.0～0.9.17を使用している場合は、影響を受けます。最新バージョン（0.9.18）へのアップデートが必要です。

CVE-2025-48085 in ZIPANG Simple Stripeを修正するにはどうすればよいですか？

Simple Stripeをバージョン0.9.18にアップデートしてください。アップデートが困難な場合は、WAFによる対策を検討してください。

CVE-2025-48085は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、将来的な悪用リスクは高いと考えられます。

CVE-2025-48085に関するZIPANG Simple Stripeの公式アドバイザリはどこで入手できますか？

ZIPANG Simple Stripeの公式ウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。

WordPress Simple Stripe プラグイン <= 0.9.17 - Stored XSS へのつながる Cross Site Request Forgery (CSRF) 脆弱性

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-48085 — XSS in ZIPANG Simple Stripeとは何ですか？

CVE-2025-48085 in ZIPANG Simple Stripeに影響を受けますか？

CVE-2025-48085 in ZIPANG Simple Stripeを修正するにはどうすればよいですか？

CVE-2025-48085は積極的に悪用されていますか？

CVE-2025-48085に関するZIPANG Simple Stripeの公式アドバイザリはどこで入手できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認