MEDIUMCVE-2025-62880CVSS 4.3

CVE-2025-62880: CSRF in Custom 404 Pro WordPress Plugin

プラットフォーム

wordpress

コンポーネント

custom-404-pro

修正版

3.12.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-62880は、WordPressプラグインCustom 404 Proにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は認証されたユーザーになりすまして、不正なリクエストを送信し、設定を変更したり、機密情報を盗み出したりする可能性があります。影響を受けるバージョンは、0.0.0から3.12.0までのCustom 404 Proプラグインです。開発者はバージョン3.12.1へのアップデートを推奨しています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証されたユーザーとして行動できることを意味します。例えば、攻撃者はプラグインの設定を変更し、カスタム404ページを悪意のあるものに置き換えたり、データベースにアクセスしたりする可能性があります。攻撃者は、ユーザーがログインしている間に悪意のあるリンクをクリックさせることで、この脆弱性を悪用できます。これにより、ウェブサイトの表示内容が改ざんされたり、ユーザーの個人情報が漏洩したりするリスクがあります。WordPressサイトのセキュリティが損なわれる可能性があり、サイトの信頼性が低下する可能性があります。

悪用の状況

この脆弱性は、2025年12月22日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を悪用して、WordPressサイトを乗っ取ったり、機密情報を盗み出したりする可能性があります。

リスク対象者翻訳中…

WordPress websites utilizing the Custom 404 Pro plugin, particularly those running older versions (0.0.0–3.12.0), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with administrator accounts that are frequently used or have weak passwords are particularly vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'Custom 404 Pro' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Custom 404 Pro'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=custom_404_pro_save_settings&setting_name=some_setting&setting_value=some_value | grep HTTP/1.1

攻撃タイムライン

2025-12-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcustom-404-pro

ベンダーwordfence

影響範囲修正版

0.0.0 – 3.12.03.12.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-10-24
公開日2025-12-22
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

まず、Custom 404 Proプラグインをバージョン3.12.1にアップデートすることが最も効果的な対策です。アップデートが利用できない場合、プラグインを一時的に無効化するか、別のプラグインに置き換えることを検討してください。WAF（Web Application Firewall）を導入し、CSRFトークン検証を強化することで、攻撃を軽減できます。WordPressのセキュリティプラグインを使用して、CSRF攻撃を検出およびブロックすることも有効です。プラグインのアップデート後、カスタム404ページの動作を確認し、不正な変更がないか確認してください。

修正方法

バージョン 3.12.1 以上、または最新の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-62880 — CSRF in Custom 404 Pro WordPressプラグインとは何ですか？

CVE-2025-62880は、WordPressプラグインCustom 404 Proにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。攻撃者は、認証されたユーザーになりすまして、不正なリクエストを送信できます。

CVE-2025-62880 in Custom 404 Pro WordPressプラグインの影響はありますか？

Custom 404 Proプラグインのバージョン0.0.0～3.12.0を使用している場合は影響を受けます。攻撃者は、設定の変更や機密情報の盗み出しなど、不正な操作を実行する可能性があります。

CVE-2025-62880 in Custom 404 Pro WordPressプラグインを修正するにはどうすればよいですか？

Custom 404 Proプラグインをバージョン3.12.1にアップデートしてください。アップデートが利用できない場合は、プラグインを無効化するか、別のプラグインに置き換えることを検討してください。

CVE-2025-62880は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。

CVE-2025-62880に関するCustom 404 Proの公式アドバイザリはどこで入手できますか？

Custom 404 Proの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。