プラットフォーム
wordpress
コンポーネント
thesis-openhook
修正版
4.3.2
CVE-2025-62120は、Rick Beckman氏が開発したWordPressプラグインOpenHookにおけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性を悪用されると、攻撃者はユーザーの権限を装って不正な操作を実行する可能性があります。影響を受けるバージョンは0.0.0から4.3.1までのものです。開発者はプラグインのアップデートを推奨しています。
このCSRF脆弱性は、攻撃者が認証されたユーザーとしてOpenHookプラグインの機能を実行することを可能にします。例えば、攻撃者はユーザーが意図しない設定変更や、不正なデータの作成・削除を実行する可能性があります。攻撃者は、悪意のあるウェブサイトやメールにOpenHookの機能を呼び出すリンクを埋め込むことで、ユーザーがそのリンクをクリックした際に脆弱性を悪用できます。この脆弱性は、WordPressサイト全体のセキュリティを脅かす可能性があります。
この脆弱性は、2025年12月31日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、将来的に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。
Websites using the OpenHook WordPress plugin, particularly those with users who have administrative or editor roles, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'openhook_save_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=openhook_save_options | grep -i 'referer:'disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
OpenHookプラグインのアップデートが最も効果的な対策です。最新バージョンにアップデートすることで、この脆弱性は修正されます。アップデートがすぐに利用できない場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装することを検討してください。また、入力検証を強化し、信頼できないソースからのリクエストを適切に処理するように設定することも重要です。WAF(Web Application Firewall)を導入し、CSRF攻撃を検知・防御することも有効な手段です。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-62120は、WordPressプラグインOpenHookにおいて、攻撃者がユーザーの権限を装って不正な操作を実行できるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。
OpenHookプラグインのバージョン0.0.0から4.3.1を使用しているWordPressサイトは影響を受けます。攻撃者は、不正なリクエストを送信し、設定変更やデータの操作を行う可能性があります。
OpenHookプラグインを最新バージョンにアップデートすることで、この脆弱性は修正されます。アップデートが利用できない場合は、セキュリティプラグインやWAFの導入を検討してください。
現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、将来的に悪用される可能性があります。
OpenHookの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。