HIGHCVE-2025-64230CVSS 7.7

WordPress Filr プラグイン <= 1.2.10 - 任意のファイル削除の脆弱性

Q: CVE-2025-64230 — パス・トラバーサル脆弱性はWP Chill Filrで何ですか？

CVE-2025-64230は、WP Chill Filrのバージョン0.0.0～1.2.10において、攻撃者が本来アクセスできないファイルにアクセスできるパス・トラバーサル脆弱性です。

Q: CVE-2025-64230でWP Chill Filrを使用しています。影響を受けますか？

はい、WP Chill Filrのバージョンが0.0.0から1.2.10の場合は、この脆弱性の影響を受けます。バージョン1.2.11へのアップデートが必要です。

Q: CVE-2025-64230でWP Chill Filrを修正するにはどうすればよいですか？

WP Chill Filrをバージョン1.2.11にアップデートしてください。アップデートが困難な場合は、Webサーバーの設定でFilrのディレクトリへのアクセスを制限してください。

Q: CVE-2025-64230は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、注意が必要です。

Q: CVE-2025-64230のWP Chill Filrの公式アドバイザリはどこで入手できますか？

WP Chill Filrの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

filr-protection

修正版

1.2.11

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-64230は、WP Chill Filrにおいて、パス・トラバーサル（ディレクトリ・トラバーサル）脆弱性が存在します。この脆弱性は、攻撃者が本来アクセスできないファイルにアクセスすることを可能にし、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンは0.0.0から1.2.10までであり、バージョン1.2.11へのアップデートで修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性を悪用すると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。これにより、設定ファイル、ソースコード、データベースファイルなど、機密性の高い情報が漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、Webサイトのファイル構造を把握し、さらなる攻撃の足がかりにすることも考えられます。類似の脆弱性は、Webアプリケーションにおいて頻繁に見られるものであり、適切なアクセス制御の欠如が原因となることが多いです。

悪用の状況

この脆弱性は、2025年12月18日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の情報を確認することをお勧めします。

リスク対象者翻訳中…

WordPress websites utilizing the WP Chill Filr plugin, particularly those running older versions (0.0.0 through 1.2.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially expose data from others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/filr-protection/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/filr-protection/../../../../etc/passwd' # Attempt to access sensitive file via path traversal

攻撃タイムライン

2025-12-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントfilr-protection

ベンダーwordfence

影響範囲修正版

0 – 1.2.101.2.11

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-10-29
公開日2025-12-18
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

まず、WP Chill Filrをバージョン1.2.11にアップデートすることが最も効果的な対策です。アップデートが直ちに困難な場合は、Webサーバーの設定で、Filrのディレクトリへのアクセスを制限するルールを追加することを検討してください。WAF（Web Application Firewall）を使用している場合は、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。また、ファイルアクセス権限を適切に設定し、不要なファイルのアクセスを制限することも重要です。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないことを確認してください。

修正方法

バージョン 1.2.11、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-64230 — パス・トラバーサル脆弱性はWP Chill Filrで何ですか？