CVE-2025-68580: CSRF in Advanced Classifieds & Directory Pro

このCSRF脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまして、機密情報の取得、設定の変更、不正なコンテンツの作成など、様々な悪意のある操作を実行できる可能性があります。例えば、攻撃者はユーザーが広告を承認したり、カテゴリを削除したり、不正な投稿を作成したりするよう誘導できます。この脆弱性は、特に管理者の権限を持つユーザーが標的にされると、システム全体に深刻な影響を及ぼす可能性があります。攻撃者は、悪意のあるスクリプトをユーザーのブラウザに注入し、ユーザーがウェブサイトを閲覧するたびにリクエストを送信することで、この脆弱性を悪用できます。

Websites utilizing pluginsware Advanced Classifieds & Directory Pro versions 0.0.0 through 3.2.9 are at risk. This includes businesses and individuals relying on the plugin for classified listings or directory management. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit the vulnerability across multiple websites hosted on the same server.

• wordpress / composer / npm:

grep -r 'pluginsware/advanced-classifieds-and-directory-pro' /var/www/html
wp plugin list | grep advanced-classifieds

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=some_sensitive_action | grep Content-Type

1. 2025-12-24Disclosure

   disclosure

1. 予約済み2025-12-19
2. 公開日2025-12-24
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずpluginsware Advanced Classifieds & Directory Proをバージョン3.3.0にアップデートすることを推奨します。アップデートが困難な場合は、Web Application Firewall (WAF) を導入し、CSRFトークンの検証を強化することで、攻撃を軽減できます。また、WordPressのセキュリティプラグインを使用して、CSRF対策を強化することも有効です。さらに、ユーザーに対して、不審なリンクをクリックしないように注意喚起し、定期的にパスワードを変更するように促すことも重要です。アップデート後、CSRFトークンが正しく検証されていることを確認してください。

アクティブインストール数

2K既知

プラグイン評価

4.7

WordPressが必要

6.3+

動作確認済みバージョン

7.0

PHPが必要

5.6.20+