MEDIUMCVE-2025-68584CVSS 4.3

CVE-2025-68584: CSRF in Vimeotheque WordPress Plugin

プラットフォーム

wordpress

コンポーネント

codeflavors-vimeo-video-post-lite

修正版

2.3.6

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-68584は、Constantin Boiangiu氏が開発したVimeotheque WordPressプラグインにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまし、不正な操作を実行する可能性があります。影響を受けるバージョンは0.0.0から2.3.5.2までの範囲です。開発者はバージョン2.3.6へのアップデートを推奨しています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証済みユーザーの権限を悪用する手段となります。例えば、攻撃者はユーザーが意図しない動画の追加、削除、設定変更などを実行させることが可能です。攻撃者は、悪意のあるウェブサイトやメールに巧妙に仕掛けられたリンクをクリックさせることで、ユーザーを騙し、不正なリクエストを送信させることができます。この脆弱性は、Vimeothequeプラグインを導入しているWordPressサイトのセキュリティを脅かす重大なリスクとなります。特に、管理権限を持つユーザーが攻撃対象となる可能性が高く、サイト全体の制御を奪われる危険性も否定できません。

悪用の状況

この脆弱性は、2025年12月24日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、CSRF脆弱性は比較的容易に悪用可能なため、注意が必要です。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Vimeothequeプラグインを導入しているWordPressサイトを標的とした攻撃を仕掛ける可能性があります。

リスク対象者翻訳中…

Websites utilizing the Vimeotheque WordPress plugin, particularly those with user accounts and video content, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable until the plugin is updated across all instances.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'vimeotheque/vimeotheque.php' /var/www/html/

• wordpress / composer / npm:

wp plugin list | grep Vimeotheque

• wordpress / composer / npm:

wp plugin update --all

攻撃タイムライン

2025-12-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcodeflavors-vimeo-video-post-lite

ベンダーwordfence

影響範囲修正版

0 – 2.3.5.22.3.6

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-12-19
公開日2025-12-24
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Vimeothequeプラグインをバージョン2.3.6にアップデートすることです。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装するなどの回避策を検討してください。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。プラグインのアップデートが完了したら、Vimeothequeの設定を確認し、不要な機能や権限を制限することで、セキュリティリスクを低減できます。

修正方法

バージョン 2.3.6、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-68584 — CSRF in Vimeotheque WordPressプラグインとは何ですか？

CVE-2025-68584は、Vimeotheque WordPressプラグインのバージョン0.0.0～2.3.5.2において、攻撃者が不正なリクエストを送信し、ユーザーの権限を悪用する可能性があるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。

CVE-2025-68584 in Vimeotheque WordPressプラグインの影響はありますか？

はい、Vimeotheque WordPressプラグインのバージョン0.0.0から2.3.5.2を使用している場合は、この脆弱性によって攻撃を受ける可能性があります。

CVE-2025-68584 in Vimeotheque WordPressプラグインを修正するにはどうすればよいですか？

Vimeotheque WordPressプラグインをバージョン2.3.6にアップデートすることで、この脆弱性を修正できます。

CVE-2025-68584は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的容易に悪用可能なため、注意が必要です。

CVE-2025-68584に関するVimeotheque WordPressプラグインの公式アドバイザリはどこで入手できますか？

Constantin Boiangiu氏のウェブサイトや、WordPressの公式セキュリティアドバイザリをご確認ください。

CVE-2025-68584: CSRF in Vimeotheque WordPress Plugin

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-68584 — CSRF in Vimeotheque WordPressプラグインとは何ですか？

CVE-2025-68584 in Vimeotheque WordPressプラグインの影響はありますか？

CVE-2025-68584 in Vimeotheque WordPressプラグインを修正するにはどうすればよいですか？

CVE-2025-68584は積極的に悪用されていますか？

CVE-2025-68584に関するVimeotheque WordPressプラグインの公式アドバイザリはどこで入手できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認