HIGHCVE-2025-59131CVSS 7.1

WordPress WP-CalDav2ICS プラグイン <= 1.3.4 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

Q: CVE-2025-59131 — CSRF in WP-CalDav2ICS WordPress Pluginとは何ですか？

CVE-2025-59131は、WordPressプラグインWP-CalDav2ICSのバージョン0.0.0～1.3.4におけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。この脆弱性を悪用されると、Stored XSS攻撃を可能にします。

Q: CVE-2025-59131 in WP-CalDav2ICS WordPress Pluginの影響はありますか？

WP-CalDav2ICSプラグインのバージョン0.0.0から1.3.4を使用しているWordPressサイトは影響を受けます。攻撃者はこの脆弱性を悪用して、Stored XSS攻撃を実行し、Webサイトの機密情報を盗み出す可能性があります。

Q: CVE-2025-59131 in WP-CalDav2ICS WordPress Pluginを修正するにはどうすればよいですか？

WP-CalDav2ICSプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装することを検討してください。

Q: CVE-2025-59131は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、早期に悪用される可能性も考慮すべきです。

Q: CVE-2025-59131に関するWP-CalDav2ICSの公式アドバイザリはどこで入手できますか？

WP-CalDav2ICSの公式アドバイザリは、プラグインの公式サイトまたはWordPressプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

wp-caldav2ics

修正版

1.3.5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59131は、WordPressプラグインWP-CalDav2ICSにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。この脆弱性を悪用されると、攻撃者はStored XSS攻撃を実行し、Webサイトの機密情報を盗み出したり、不正な操作を行ったりする可能性があります。影響を受けるバージョンは0.0.0から1.3.4までのものです。開発者はプラグインを最新バージョンにアップデートすることを推奨します。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証されたユーザーになりすまして、WP-CalDav2ICSプラグインの機能を悪用することを可能にします。具体的には、攻撃者は悪意のあるリクエストをユーザーに送信し、ユーザーがそのリクエストを承認したと見なされる可能性があります。これにより、攻撃者はデータベースに悪意のあるデータを挿入したり、既存のデータを改ざんしたり、機密情報を盗み出したりする可能性があります。Stored XSS攻撃は、ユーザーがWebサイトを閲覧するたびに悪意のあるスクリプトが実行されるため、特に危険です。この脆弱性は、Webサイトの完全な侵害につながる可能性があります。

悪用の状況

この脆弱性は、2025年12月30日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRFとStored XSSの組み合わせは、攻撃者にとって魅力的な標的となる可能性があります。公開されているPoCは確認されていませんが、脆弱性の性質上、早期に悪用される可能性も考慮すべきです。

リスク対象者翻訳中…

Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS

• generic web:

curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'

攻撃タイムライン

2025-12-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwp-caldav2ics

ベンダーwordfence

影響範囲修正版

0.0.0 – 1.3.41.3.5

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-09-09
公開日2025-12-30
更新日2026-04-28
EPSS 更新日2026-03-23

未パッチ — 公開から145日経過

緩和策と回避策

この脆弱性への最も効果的な対策は、WP-CalDav2ICSプラグインを最新バージョンにアップデートすることです。アップデートが利用できない場合、WordPressのセキュリティプラグインを使用してCSRFトークンを実装することを検討してください。また、WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効です。プラグインのアップデート後、WordPress管理画面からプラグインの動作を確認し、不正な設定がないか確認してください。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59131 — CSRF in WP-CalDav2ICS WordPress Pluginとは何ですか？