プラットフォーム
wordpress
コンポーネント
newsletters-lite
修正版
4.9.10
CVE-2025-4857は、WordPressのNewslettersプラグインにおいて発見されたLocal File Inclusionの脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上で任意のPHPコードを実行できる可能性があります。影響を受けるバージョンは0.0.0から4.9.9.9までであり、最新バージョンへのアップデートが推奨されます。
この脆弱性は、認証された攻撃者(管理者権限以上)が、Newslettersプラグインの'file'パラメータを介して、サーバー上の任意のファイルを読み込み、実行することを可能にします。攻撃者は、この脆弱性を利用して、アクセス制御をバイパスしたり、機密情報を盗んだり、悪意のあるコードを実行したりする可能性があります。特に、画像やその他の安全なファイルタイプをアップロードできる環境では、コード実行のリスクが高まります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大な問題です。
この脆弱性は、2025年5月31日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、Local File Inclusionの脆弱性は悪用事例が多く、早期に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。
WordPress websites utilizing the Newsletters plugin, particularly those with administrator accounts that have weak passwords or are susceptible to credential stuffing attacks, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / plugin:
grep -r "file=../" /var/www/wordpress/wp-content/plugins/newsletters/*• wordpress / plugin:
wp plugin list | grep newsletters• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/newsletters/?file=../../../../etc/passwd• generic web:
Check WordPress access logs for requests containing suspicious file paths in the file parameter, such as ../ or absolute paths.
disclosure
エクスプロイト状況
EPSS
0.21% (43% パーセンタイル)
CISA SSVC
CVSS ベクトル
Newslettersプラグインのバージョン4.9.9.9以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressの.htaccessファイルに、Newslettersプラグインのディレクトリへのアクセスを制限するルールを追加することで、攻撃のリスクを軽減できます。また、WAF(Web Application Firewall)を導入し、Local File Inclusion攻撃を検知・防御するルールを設定することも有効です。プラグインのファイルアップロード機能を使用しない場合は、無効化することも検討してください。
Actualice el plugin Newsletters a la última versión disponible para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-4857は、WordPressのNewslettersプラグインのバージョン0.0.0~4.9.9.9において、Local File Inclusionの脆弱性です。認証された攻撃者が任意のファイルを読み込み、実行できる可能性があります。
はい、Newslettersプラグインのバージョン0.0.0~4.9.9.9を使用しているWordPressサイトは、攻撃のリスクにさらされています。
Newslettersプラグインをバージョン4.9.9.9以降にアップデートしてください。アップデートが困難な場合は、.htaccessファイルでアクセス制限を設けるなどの対策を講じてください。
現時点では公的なPoCは確認されていませんが、Local File Inclusionの脆弱性は悪用事例が多く、早期に悪用される可能性があります。
Newslettersプラグインの公式ウェブサイトまたはWordPressのセキュリティアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。