プラットフォーム
wordpress
コンポーネント
user-registration-plugin-for-woocommerce
修正版
2.1.3
Custom User Registration Fields for WooCommerce の脆弱性 CVE-2025-60207 は、任意のファイルアクセスを許可し、攻撃者が悪意のあるファイルをサーバーにアップロードすることを可能にします。この脆弱性は、Webシェルをアップロードできるため、重大なセキュリティリスクをもたらします。影響を受けるバージョンは、バージョン 0 から 2.1.2 までのものです。この脆弱性は 2.1.3 で修正されています。
この脆弱性を悪用すると、攻撃者は Web シェルなどの悪意のあるファイルをサーバーにアップロードできます。これにより、サーバーに対する完全な制御権を取得し、機密情報の窃取、データの改ざん、さらにはサーバーの乗っ取りといった攻撃を実行することが可能になります。Webシェルを配置することで、攻撃者はサーバーにリモートアクセスし、コマンドを実行したり、他のシステムに侵入するための足がかりとして利用したりできます。この脆弱性は、Web サイトの完全な侵害につながる可能性があり、ビジネスへの影響は甚大です。類似の脆弱性は、Web サイトのセキュリティを著しく低下させる可能性があります。
CVE-2025-60207 は 2025年11月6日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSSスコアが10(CRITICAL)であることから、攻撃者による悪用が懸念されます。公開されている POC は確認されていません。CISA や NVD の情報も確認し、最新の状況を把握することが重要です。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Custom User Registration Fields for WooCommerce をバージョン 2.1.3 にアップデートすることを強く推奨します。アップデートできない場合は、一時的な緩和策として、サーバーの設定でアップロード可能なファイルの種類を制限し、アップロードディレクトリへのアクセスを厳格に制限してください。Web アプリケーションファイアウォール (WAF) を使用して、悪意のあるファイルアップロードを検出し、ブロックすることも有効です。また、アップロードディレクトリのアクセスログを監視し、不審なアクティビティを早期に発見できるようにすることが重要です。アップデート後、ファイルアップロード機能が正常に動作することを確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-60207 は、Custom User Registration Fields for WooCommerce における任意のファイルアクセス脆弱性です。攻撃者は Web シェルをアップロードできる可能性があります。
Custom User Registration Fields for WooCommerce のバージョンが 0 から 2.1.2 までの場合は、影響を受けます。
Custom User Registration Fields for WooCommerce をバージョン 2.1.3 にアップデートしてください。アップデートできない場合は、ファイルの種類を制限するなどの緩和策を講じてください。
現時点では、CVE-2025-60207 を悪用した具体的な攻撃事例は報告されていませんが、CVSSスコアが10であるため、悪用される可能性があります。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで詳細情報を確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。