HIGHCVE-2025-59002CVSS 7.7

WordPress BM Content Builder プラグイン < 3.16.3.3 - 任意のファイル削除の脆弱性

Q: CVE-2025-59002 — パス・トラバーサル脆弱性はBM Content Builderで何ですか？

CVE-2025-59002は、SeaTheme BM Content Builderのバージョン0.0.0～3.16.3.3におけるパス・トラバーサル脆弱性であり、攻撃者が任意のファイルを読み取れる可能性があります。

Q: CVE-2025-59002でBM Content Builderを使用しています。影響を受けますか？

はい、バージョン0.0.0から3.16.3.3を使用している場合は影響を受けます。バージョン3.16.3.3にアップデートしてください。

Q: CVE-2025-59002でBM Content Builderを修正するにはどうすればよいですか？

SeaTheme BM Content Builderをバージョン3.16.3.3にアップデートしてください。アップデートができない場合は、Webサーバーの設定でアクセス制限を検討してください。

Q: CVE-2025-59002は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、早急な対応が必要です。

Q: CVE-2025-59002に関するSeaThemeの公式アドバイザリはどこで入手できますか？

SeaThemeの公式アドバイザリは、SeaThemeのウェブサイトまたはWordPressプラグインリポジトリで確認できます。

プラットフォーム

wordpress

コンポーネント

bm-builder

修正版

3.16.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59002は、SeaTheme BM Content Builderにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み取ることが可能となり、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。影響を受けるバージョンは0.0.0から3.16.3.3です。ベンダーはバージョン3.16.3.3へのアップデートを推奨しています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がBM Content BuilderがインストールされているWordPress環境上の任意のファイルを読み取ることができることを意味します。攻撃者は、Webサーバーの構成ファイル、データベースのバックアップ、または他の機密情報を取得する可能性があります。取得した情報をもとに、さらなる攻撃を仕掛けたり、システムを完全に制御しようとする可能性があります。この脆弱性は、Webアプリケーションのセキュリティを著しく損なう可能性があり、機密情報の漏洩、サービスの中断、さらにはシステム全体の侵害につながる可能性があります。

悪用の状況

この脆弱性は2025年9月26日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、早急な対応が必要です。CISA KEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

WordPress sites utilizing the BM Content Builder plugin, particularly those running older versions (0.0.0–3.16.3.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with sensitive data stored in configuration files or accessible through the WordPress file system are at higher risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/bm-builder/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/bm-builder/../../../../etc/passwd'  # Check for file access

攻撃タイムライン

2025-09-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントbm-builder

ベンダーSeaTheme

影響範囲修正版

0 – 3.16.3.33.16.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-06
公開日2025-09-26
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、SeaTheme BM Content Builderをバージョン3.16.3.3にアップデートすることです。アップデートが直ちに実行できない場合は、Webサーバーの設定で、BM Content Builderのディレクトリへのアクセスを制限するルールを追加することを検討してください。また、WordPressのセキュリティプラグインを使用して、不正なファイルアクセスを検知およびブロックすることも有効です。アップデート後、ファイルアクセスログを監視し、不審なアクセスがないか確認してください。

修正方法翻訳中…

Actualice el plugin BM Content Builder a la versión 3.16.3.4 o superior para mitigar la vulnerabilidad de recorrido de ruta.  Verifique las fuentes oficiales del plugin o el repositorio de WordPress para obtener la última versión.  Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59002 — パス・トラバーサル脆弱性はBM Content Builderで何ですか？