プラットフォーム
wordpress
コンポーネント
thim-core
修正版
2.4.0
CVE-2025-53344は、ThimPress Thim Coreにおいて検出されたクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまし、不正な操作を実行する可能性があります。影響を受けるバージョンは、n/aから2.3.3までの範囲です。ThimPressはバージョン2.4.0でこの脆弱性を修正しました。
このCSRF脆弱性は、攻撃者が認証済みユーザーの権限を悪用する手段となります。例えば、攻撃者はユーザーが意図しない設定変更、コンテンツの削除、または不正なアクションを実行させる可能性があります。攻撃者は、悪意のあるウェブサイトやメールにリンクを埋め込むことで、ユーザーがリンクをクリックした際に脆弱性を悪用できます。この脆弱性は、Thim Coreの機能に依存する他のプラグインやテーマにも影響を及ぼす可能性があります。
この脆弱性は、2026年1月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、CSRFは比較的容易に悪用できる脆弱性であるため、早期の対策が推奨されます。CISA KEVカタログへの登録状況は不明です。
Websites using Thim Core plugin versions prior to 2.4.0 are at risk. Specifically, sites with user roles that have administrative privileges are particularly vulnerable, as an attacker could leverage CSRF to escalate their privileges.
• wordpress / composer / npm:
grep -r 'thim_core_settings' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=thim_core_settings&nonce=malicious_nonce | grep -i '200 ok'disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Thim Coreをバージョン2.4.0以降にアップデートすることです。アップデートがすぐに利用できない場合、WAF(Web Application Firewall)を導入し、CSRFトークン検証を強化することで、攻撃を軽減できます。また、WordPressのセキュリティプラグインを使用して、CSRF攻撃を検出およびブロックすることも有効です。設定変更や機密情報の取り扱いには、常に注意を払い、不審なリンクをクリックしないようにしてください。
クロスサイトリクエストフォージェリ (CSRF) 脆弱性を軽減するために、Thim Core プラグインをバージョン 2.4.0 以降にアップデートしてください。プラグインのアップデート前に、必ずウェブサイトのバックアップを作成してください。詳細なアップデート手順については、プラグインのドキュメントを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-53344は、ThimPress Thim Coreのバージョンn/a~2.3.3において、攻撃者がユーザーの権限を悪用するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。
はい、Thim Coreを使用しているWordPressサイトの管理者およびユーザーが影響を受けます。攻撃者は、不正なリクエストを送信し、ユーザーの権限を悪用する可能性があります。
Thim Coreをバージョン2.4.0以降にアップデートすることで修正できます。アップデートが利用できない場合は、WAFを導入するなど、代替の対策を検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRFは比較的容易に悪用できる脆弱性であるため、早期の対策が推奨されます。
ThimPressの公式アドバイザリは、ThimPressのウェブサイトまたはWordPressプラグインリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。