プラットフォーム
wordpress
コンポーネント
game-users-share-buttons
修正版
1.3.1
Game Users Share Buttonsプラグインのバージョン1.0.0から1.3.0に影響を与える、任意ファイル削除の脆弱性(CVE-2025-6755)が発見されました。この脆弱性は、ajaxDeleteTheme()関数におけるファイルパスの検証不備に起因し、攻撃者がサーバー上のファイルを削除する可能性があります。WordPressサイトのセキュリティを脅かす重大な問題であり、速やかな対応が必要です。最新バージョンへのアップデートを推奨します。
この脆弱性を悪用されると、攻撃者はWordPressサイトのファイルシステムに不正にアクセスし、機密情報を盗み出したり、ウェブサイトの機能を破壊したりする可能性があります。特に、wp-config.phpなどの重要な設定ファイルを削除されると、サイト全体が利用できなくなるリスクがあります。攻撃者は、この脆弱性を利用して、ウェブサーバー上で任意のコードを実行し、システムを完全に制御する可能性も否定できません。類似の脆弱性は、過去にWordPressプラグインで確認されており、厳重な注意が必要です。
CVE-2025-6755は、2025年6月28日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明ですが、WordPressサイトのセキュリティ対策を強化することを推奨します。NVD(National Vulnerability Database)の情報も参照し、最新の情報を収集してください。
Websites using the Game Users Share Buttons plugin, particularly those running vulnerable versions (1.0.0–1.3.0), are at risk. Shared hosting environments where multiple WordPress sites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "ajaxDeleteTheme" /var/www/html/wp-content/plugins/game-users-share-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'game-users-share-buttons'• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ajaxDeleteTheme&themeNameId=../../../../wp-config.php | grep -i '403 forbidden'disclosure
エクスプロイト状況
EPSS
1.21% (79% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Game Users Share Buttonsプラグインを最新バージョンにアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインの無効化を検討してください。WAF(Web Application Firewall)を導入し、不正なファイルアクセスを検知・遮断するルールを設定することも有効です。また、WordPressのファイルパーミッションを適切に設定し、ウェブサーバーがアクセスできないディレクトリへのアクセスを制限することも重要です。アップデート後、プラグインの動作を確認し、ファイルシステムへの不正アクセスがないことを確認してください。
Actualice el plugin Game Users Share Buttons a la última versión disponible, ya que las versiones posteriores a la 1.3.0 incluyen correcciones para esta vulnerabilidad. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-6755は、WordPressのGame Users Share Buttonsプラグインのバージョン1.0.0~1.3.0において、ajaxDeleteTheme()関数におけるファイルパス検証不備により、任意ファイル削除の脆弱性です。
Game Users Share Buttonsプラグインのバージョン1.0.0から1.3.0を使用しているWordPressサイトは、この脆弱性に影響を受けます。
Game Users Share Buttonsプラグインを最新バージョンにアップデートしてください。アップデートが困難な場合は、プラグインの無効化を検討してください。
現時点では公的なPoCは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。
Game Users Share Buttonsの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。