HIGHCVE-2025-48267CVSS 8.6

WordPress WP Pipes プラグイン <= 1.4.2 - 任意のファイル削除の脆弱性

Q: CVE-2025-48267 — パス・トラバーサル脆弱性 in WP Pipesとは何ですか？

CVE-2025-48267は、WP Pipesプラグインにおけるパス・トラバーサル脆弱性であり、攻撃者が本来アクセスできないファイルを読み取れる可能性があります。

Q: CVE-2025-48267 in WP Pipesに影響を受けますか？

WP Pipesのバージョンがn/aから1.4.2を使用している場合、この脆弱性に影響を受ける可能性があります。

Q: CVE-2025-48267 in WP Pipesを修正するにはどうすればよいですか？

WP Pipesをバージョン1.4.3にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-48267は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2025-48267のWP Pipes公式アドバイザリはどこで入手できますか？

ThimPressのウェブサイトで、CVE-2025-48267に関する公式アドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

wp-pipes

修正版

1.4.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

WP PipesにおけるCVE-2025-48267は、パス・トラバーサル脆弱性として知られています。この脆弱性により、認証された攻撃者は、本来アクセスできないファイルを読み取ることが可能になります。影響を受けるバージョンはWP Pipesのn/aから1.4.2です。開発者は1.4.3のバージョンで修正を提供しています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がサーバー上の機密ファイルにアクセスする可能性を秘めています。攻撃者は、WP Pipesの管理インターフェースを通じて、ファイルシステムの任意の場所にアクセスし、設定ファイル、データベースダンプ、またはその他の機密情報を盗む可能性があります。この脆弱性の悪用は、Webサイトの完全な侵害につながる可能性があり、データの漏洩、改ざん、またはサービス拒否攻撃を引き起こす可能性があります。攻撃者は、この脆弱性を利用して、サーバー上の他のアプリケーションやサービスへのアクセス権を取得し、攻撃範囲を拡大する可能性があります。

悪用の状況

CVE-2025-48267は、2025年6月9日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites using the WP Pipes plugin are at risk. Specifically, sites running older versions of WP Pipes (prior to 1.4.3) are vulnerable. Shared hosting environments where users have limited control over plugin updates are particularly susceptible.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/wp-pipes/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-pipes/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2025-06-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.10% (26% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwp-pipes

ベンダーThimPress

影響範囲修正版

n/a – 1.4.21.4.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-05-19
公開日2025-06-09
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

WP Pipesのバージョンを1.4.3にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、Webサーバーの設定でファイルアクセスを制限し、WP Pipesがアクセスできるディレクトリを厳密に制御することで、攻撃の影響を軽減できます。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃のパターンを検出・ブロックするルールを設定することも有効です。ファイルアクセス権限を最小限に設定し、不要なファイルへのアクセスを制限することも重要です。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないことを確認してください。

修正方法翻訳中…

Actualice el plugin WP Pipes a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio.  Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio de plugins de WordPress.  Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-48267 — パス・トラバーサル脆弱性 in WP Pipesとは何ですか？