プラットフォーム
wordpress
コンポーネント
noindex-by-path
修正版
1.0.1
Noindex by PathプラグインにCSRF(クロスサイトリクエストフォージェリ)の脆弱性が存在します。この脆弱性は、認証された攻撃者が、ユーザーの意図しない操作を実行させることが可能となり、Stored XSS(保存型クロスサイトスクリプティング)攻撃に悪用されるリスクがあります。影響を受けるバージョンは0.0.0から1.0までの範囲です。開発者による修正が提供されています。
このCSRF脆弱性は、攻撃者が正規のユーザーとしてプラグインの機能を悪用することを可能にします。攻撃者は、巧妙に作成された悪意のあるリクエストをユーザーに送信し、ユーザーがそのリクエストを実行してしまうことで、Stored XSS攻撃を実行できます。Stored XSS攻撃は、攻撃者がユーザーのブラウザ上で悪意のあるスクリプトを実行し、Cookieの窃取、セッションハイジャック、またはウェブサイトの改ざんなどの攻撃を可能にします。この脆弱性が悪用されると、ウェブサイトの機密情報が漏洩したり、ユーザーがなりすまされたりする可能性があります。
この脆弱性は、2025年12月31日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、CSRFとStored XSSの組み合わせは、攻撃者にとって魅力的な標的となり得るため、注意が必要です。CISA KEVへの登録状況は不明です。
Websites using the Noindex by Path WordPress plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "noindex_by_path" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep noindex-by-path• wordpress / composer / npm:
wp plugin update noindex-by-pathdisclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずNoindex by Pathプラグインを最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合、WordPressのWAF(Web Application Firewall)プラグインを導入し、CSRF攻撃を検知・防御するルールを設定することを検討してください。また、WordPressのセキュリティ設定を見直し、不要なプラグインを削除し、常に最新の状態に保つことが重要です。アップデート後、プラグインの動作を確認し、CSRF攻撃の兆候がないことを確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-49353は、Marcin KijakのNoindex by PathプラグインにおけるCSRF脆弱性で、Stored XSSにつながる可能性があります。
はい、バージョン0.0.0から1.0までのNoindex by Pathプラグインを使用しているウェブサイトは影響を受けます。
Noindex by Pathプラグインを最新バージョンにアップデートしてください。
現時点では、公的なPoCは確認されていませんが、注意が必要です。
プラグインの公式ウェブサイトまたはWordPressのプラグインディレクトリで確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。