HIGHCVE-2025-59566CVSS 7.7

WordPress Workreap (テーマのプラグイン) プラグイン <= 3.3.5 - 任意のファイル削除の脆弱性

Q: CVE-2025-59566 — パス・トラバーサル脆弱性はWorkreap WordPressプラグインで何ですか？

CVE-2025-59566は、AmentoTech Workreap WordPressプラグインにおけるパス・トラバーサル脆弱性で、攻撃者がWebサーバー上の任意のファイルにアクセスできる可能性があります。

Q: CVE-2025-59566でWorkreap WordPressプラグインを使用していますか？

Workreap WordPressプラグインのバージョンが0.0.0から3.3.5の場合は、影響を受けます。バージョン3.3.6にアップデートしてください。

Q: CVE-2025-59566でWorkreap WordPressプラグインを修正するにはどうすればよいですか？

Workreap WordPressプラグインをバージョン3.3.6にアップデートしてください。アップデートが利用できない場合は、WAFを使用して攻撃をブロックしてください。

Q: CVE-2025-59566は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2025-59566のWorkreap WordPressプラグインの公式アドバイザリはどこで入手できますか？

AmentoTechの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

workreap

修正版

3.3.6

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59566は、AmentoTech Workreap WordPressプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はWebサーバー上の任意のファイルにアクセスできる可能性があります。影響を受けるバージョンは0.0.0から3.3.5までです。AmentoTechはバージョン3.3.6で修正を提供しています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がWebサーバー上の機密ファイル（設定ファイル、ソースコード、ログファイルなど）を読み取ることを可能にします。攻撃者は、この脆弱性を利用して、認証情報を盗み出したり、Webサイトの構成を把握したり、さらにはシステムへの侵入を試みたりする可能性があります。特に、Webサーバーのルートディレクトリに機密情報が保存されている場合、この脆弱性の影響は甚大です。攻撃者は、この脆弱性を利用して、Webサイトを改ざんしたり、悪意のあるコードを実行したりすることも可能です。

悪用の状況

この脆弱性は、2025年10月22日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the Workreap plugin, particularly those running older versions (0.0.0–3.3.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable, as are websites with limited security configurations.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/workreap/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/workreap/wp-content/../etc/passwd' # Attempt path traversal

攻撃タイムライン

2025-10-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントworkreap

ベンダーAmentoTech

影響範囲修正版

0.0.0 – 3.3.53.3.6

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-17
公開日2025-10-22
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Workreap WordPressプラグインをバージョン3.3.6にアップデートすることです。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃をブロックすることができます。WAFのルールを設定する際には、ファイルパスの正規化や、許可されていないディレクトリへのアクセスを制限するなどの対策を講じることが重要です。また、アクセスログを監視し、不審なアクセスパターンを検出することも有効です。

修正方法翻訳中…

Actualice el plugin Workreap a una versión posterior a 3.3.5 para mitigar la vulnerabilidad de recorrido de ruta.  Verifique la página del plugin en WordPress.org para obtener la última versión disponible y siga las instrucciones de actualización proporcionadas por el desarrollador.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59566 — パス・トラバーサル脆弱性はWorkreap WordPressプラグインで何ですか？