HIGHCVE-2025-58959CVSS 7.7

WordPress Taskbot プラグイン <= 6.4 - 任意のファイル削除の脆弱性

Q: CVE-2025-58959 — パス・トラバーサル脆弱性はTaskbotで何ですか？

CVE-2025-58959は、AmentoTech Taskbotのバージョン0.0.0～6.4におけるパス・トラバーサル脆弱性であり、攻撃者が任意のファイルを読み取れる可能性があります。

Q: CVE-2025-58959はTaskbotで影響を受けますか？

はい、AmentoTech Taskbotのバージョン0.0.0から6.4までのバージョンは、この脆弱性によって影響を受けます。

Q: CVE-2025-58959はTaskbotでどうやって修正しますか？

Taskbotをバージョン6.4.1にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-58959は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2025-58959のTaskbot公式アドバイザリはどこで入手できますか？

AmentoTechの公式ウェブサイトで、CVE-2025-58959に関するアドバイザリをご確認ください。

プラットフォーム

wordpress

コンポーネント

taskbot

修正版

6.4.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-58959は、AmentoTech Taskbotにおいて、パス・トラバーサル（ディレクトリ・トラバーサル）の脆弱性が存在します。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み取ることが可能となり、機密情報の漏洩やシステムの不正な操作につながる可能性があります。影響を受けるバージョンは、0.0.0から6.4までのTaskbotです。バージョン6.4.1でこの脆弱性が修正されました。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がTaskbotのファイルシステムを探索し、機密情報を盗み出すことを可能にします。例えば、設定ファイルからデータベースの認証情報が漏洩したり、ソースコードから脆弱性が発見されたりする可能性があります。攻撃者は、Webサーバーのルートディレクトリ外にあるファイルにアクセスし、Webインターフェースを通じて機密情報を取得する可能性があります。この脆弱性は、Webアプリケーションのセキュリティを著しく損ない、機密情報の漏洩、改ざん、または破壊につながる可能性があります。

悪用の状況

この脆弱性は、2025年10月22日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using AmentoTech Taskbot, particularly those with older versions (0.0.0–6.4) and those hosting Taskbot on shared hosting environments, are at significant risk. Those with misconfigured file permissions or lacking WAF protection are especially vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/taskbot/*

• generic web:

curl -I 'http://your-taskbot-site.com/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2025-10-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtaskbot

ベンダーAmentoTech

影響範囲修正版

0.0.0 – 6.46.4.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-06
公開日2025-10-22
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

まず、Taskbotをバージョン6.4.1にアップデートすることが最も効果的な対策です。アップデートがすぐに利用できない場合は、Webサーバーの設定でTaskbotのディレクトリへのアクセスを制限するなどの回避策を検討してください。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。また、Taskbotのログを監視し、不審なアクセスがないか確認することも重要です。アップデート後、アクセス権限を確認し、不要なファイルへのアクセスを制限してください。

修正方法翻訳中…

Actualice el plugin Taskbot a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio.  Verifique las actualizaciones disponibles en el repositorio de WordPress o en el sitio web del desarrollador.  Implemente medidas de seguridad adicionales, como la limitación de permisos de usuario y la validación de entradas, para fortalecer la seguridad de su sitio web.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-58959 — パス・トラバーサル脆弱性はTaskbotで何ですか？