プラットフォーム
wordpress
コンポーネント
support-ticket-system-for-woocommerce
修正版
2.0.8
CVE-2025-60235 は、WooCommerce のサポートチケットシステム (Premium) における、ファイルタイプの制限がないアップロードの脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるファイルをサーバーにアップロードし、実行することが可能となり、システム全体への深刻な影響を引き起こす可能性があります。この脆弱性は、WooCommerce のサポートチケットシステム (Premium) バージョン 0 から 2.0.7 までのバージョンに影響を与えます。最新バージョンへのアップグレードが推奨されます。
この脆弱性は、攻撃者が悪意のあるスクリプト(PHP、ASPなど)や実行可能なファイルをサーバーにアップロードすることを可能にします。アップロードされたファイルが実行されると、攻撃者はサーバー上で任意のコードを実行し、機密情報を盗み出したり、システムを完全に制御したりする可能性があります。特に、WooCommerceストアのデータベースや顧客情報、決済情報などが危険にさらされる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトを改ざんしたり、マルウェアを拡散したりすることも可能です。この脆弱性は、類似のファイルアップロード脆弱性と同様に、広範囲な影響を及ぼす可能性があります。
CVE-2025-60235 は 2025年11月6日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSS スコアが 10 (CRITICAL) であることから、悪用される可能性は高いと考えられます。公開されている POC (Proof of Concept) コードが存在するかどうかは不明ですが、この脆弱性の深刻度を考慮すると、攻撃者による悪用が懸念されます。CISA や NVD の情報も確認し、最新の情報を把握するようにしてください。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、直ちに WooCommerce のサポートチケットシステム (Premium) をバージョン 2.0.8 以降にアップグレードしてください。アップグレードが困難な場合は、ファイルアップロード機能のアクセスを制限する WAF (Web Application Firewall) ルールを実装することを検討してください。具体的には、危険なファイル拡張子(.php、.asp、.exeなど)を持つファイルのアップロードをブロックするルールを追加します。また、サーバーの設定で、アップロードディレクトリの実行権限を無効にすることも有効です。アップグレード後、ファイルアップロード機能が正常に動作し、危険なファイルがアップロードできないことを確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
これは、WooCommerce のサポートチケットシステム (Premium) における、危険なファイルタイプのアップロード制限の脆弱性です。悪意のあるファイルが実行される可能性があります。
WooCommerce のサポートチケットシステム (Premium) のバージョンが 0 から 2.0.7 の場合は、影響を受けています。
バージョン 2.0.8 以降にアップグレードしてください。アップグレードが難しい場合は、WAF ルールで危険なファイルのアップロードをブロックしてください。
現時点では具体的な悪用事例は報告されていませんが、CVSS スコアが 10 (CRITICAL) であるため、悪用される可能性は高いと考えられます。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで最新情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。