CVE-2025-62148: CSRF in Robots.txt rewrite

このCSRF脆弱性は、攻撃者が認証されたユーザーとしてrobots.txtファイルを変更できることを意味します。これにより、攻撃者は検索エンジンのクローラーをブロックしたり、特定のページをインデックスから除外したり、悪意のあるコンテンツをクロールさせたりすることができます。robots.txtファイルは、検索エンジンのクローラーがサイトのどの部分をクロールすべきかを指示する重要なファイルであるため、この脆弱性はサイトの可視性とセキュリティに重大な影響を与える可能性があります。攻撃者は、悪意のあるウェブサイトやメールに埋め込まれた巧妙に作られたリンクを通じて、この脆弱性を悪用する可能性があります。

Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.

• wordpress / composer / npm:

grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite

• generic web:

curl -I https://example.com/robots.txt | grep -i 'allow:'

1. 2025-12-31Disclosure

   disclosure

1. 予約済み2025-10-07
2. 公開日2025-12-31
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Robots.txt rewriteプラグインをバージョン1.6.2にアップデートすることです。アップデートできない場合は、WAF（Web Application Firewall）を使用して、robots.txtファイルへの不正なリクエストをブロックすることを検討してください。また、robots.txtファイルへのアクセスを制限するカスタムのセキュリティルールを実装することも有効です。robots.txtファイルへのアクセスを厳密に管理し、認証されていないユーザーからの変更を防ぐことが重要です。アップデート後、robots.txtファイルが意図したとおりに設定されていることを確認してください。