MEDIUMCVE-2025-62089CVSS 4.3

CVE-2025-62089: CSRF in Mergado Pack WordPress Plugin

プラットフォーム

wordpress

コンポーネント

mergado-marketing-pack

修正版

4.2.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-62089は、Mergado Pack WordPressプラグインにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は認証されたユーザーになりすまし、不正な操作を実行する可能性があります。影響を受けるバージョンは0.0.0から4.2.1までの間です。プラグインのアップデートにより修正が提供されています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証されたユーザーとして行動し、プラグインの設定を変更したり、データを操作したりする可能性があります。例えば、攻撃者は悪意のあるURLをユーザーに送り込み、ユーザーがそのURLをクリックした際に、バックエンドで不正なリクエストを送信させることができます。これにより、ウェブサイトのデータが改ざんされたり、機密情報が漏洩したりするリスクがあります。攻撃者は、Mergado Packプラグインを通じて管理者が設定したマーケティングキャンペーンを不正に変更し、ウェブサイトの表示内容を操作する可能性も考えられます。

悪用の状況

この脆弱性は、まだ積極的に悪用されているという報告はありません。しかし、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。CISAのKEVリストには登録されていません。NVDの公開日は2025年12月31日です。公開されたPoCは確認されていません。

リスク対象者翻訳中…

WordPress sites utilizing the Mergado Pack plugin, particularly those running versions 0.0.0 through 4.2.1, are at risk. Sites with limited security controls or those that allow user-generated content are especially vulnerable, as attackers can more easily craft malicious CSRF requests.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'mergado-marketing-pack' /var/www/html/wp-content/plugins/
wp plugin list | grep mergado-marketing-pack

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/mergado-marketing-pack/ | grep -i 'mergado-marketing-pack'

攻撃タイムライン

2025-12-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmergado-marketing-pack

ベンダーwordfence

影響範囲修正版

0.0.0 – 4.2.14.2.2

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-10-07
公開日2025-12-31
更新日2026-04-28
EPSS 更新日2026-03-23

未パッチ — 公開から144日経過

緩和策と回避策

この脆弱性への主な対策は、Mergado Packプラグインを最新バージョンにアップデートすることです。アップデートが利用できない場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装するなどの回避策を検討してください。また、ウェブアプリケーションファイアウォール（WAF）を導入し、CSRF攻撃を検知・防御することも有効です。WAFの設定では、異常なリクエストパターンを監視し、不正なリクエストをブロックするように設定してください。アップデート後、プラグインの設定が正常に機能していることを確認し、セキュリティ監査を実施することをお勧めします。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-62089 — CSRFはMergado Pack WordPressプラグインで何ですか？

CVE-2025-62089は、Mergado Pack WordPressプラグインのバージョン0.0.0～4.2.1で発生するクロスサイトリクエストフォージェリ（CSRF）脆弱性です。攻撃者は、認証されたユーザーになりすまして不正な操作を実行する可能性があります。

CVE-2025-62089はMergado Pack WordPressプラグインで影響を受けますか？

はい、Mergado Pack WordPressプラグインのバージョン0.0.0から4.2.1までのユーザーは、この脆弱性の影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2025-62089はMergado Pack WordPressプラグインでどのように修正しますか？

Mergado Pack WordPressプラグインを最新バージョンにアップデートすることで、この脆弱性を修正できます。アップデートが利用できない場合は、WAFなどの回避策を検討してください。

CVE-2025-62089は積極的に悪用されていますか？

現時点では、CVE-2025-62089が悪用されているという報告はありません。しかし、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。

CVE-2025-62089に関するMergado Pack WordPressプラグインの公式アドバイザリはどこで入手できますか？

Mergado Pack WordPressプラグインの公式アドバイザリは、MergadoのウェブサイトまたはWordPressプラグインリポジトリで確認できます。