プラットフォーム
wordpress
コンポーネント
traderunner
修正版
3.14.1
CVE-2025-67625は、Trade RunnerにおいてCross-Site Request Forgery (CSRF) 脆弱性が存在することが判明しました。この脆弱性は、攻撃者が正規のユーザーとして不正な操作を実行することを可能にし、データの改ざんや機密情報の漏洩につながる可能性があります。影響を受けるバージョンは、0.0.0から3.14までの範囲です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
このCSRF脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまして、Trade Runnerの管理機能を不正に操作できます。例えば、設定の変更、ユーザーアカウントの作成・削除、取引データの改ざんなどが考えられます。攻撃者は、巧妙に偽装されたリクエストをユーザーに送信することで、ユーザーが気づかずに不正な操作を実行させてしまう可能性があります。この脆弱性は、Trade Runnerのセキュリティを著しく損ない、ビジネスへの影響も大きくなる可能性があります。
この脆弱性は、2025年12月24日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合は、速やかに対応する必要があります。
Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.
• wordpress / composer / npm:
grep -r "/wp-admin/admin-ajax.php" ./• generic web:
curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'disclosure
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、Trade Runnerを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、CSRFトークン検証を強化するなどの対策を講じる必要があります。また、ユーザーに対して、不審なリンクのクリックや、信頼できないWebサイトへのアクセスを避けるよう注意喚起することも重要です。Trade Runnerのセキュリティ設定を見直し、不要な機能を無効化することも有効な対策となります。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-67625は、Trade Runnerのバージョン0.0.0から3.14までの範囲において、攻撃者が正規のユーザーとして不正な操作を実行できるCSRF脆弱性です。
はい、Trade Runnerのバージョン0.0.0から3.14を使用している場合、攻撃者に不正な操作を実行されるリスクがあります。
Trade Runnerを最新バージョンにアップデートすることで、この脆弱性を修正できます。
現時点では、公的な悪用事例は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。
Trade Runnerの公式アドバイザリは、Trade Runnerのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。