プラットフォーム
wordpress
コンポーネント
wplms_plugin
修正版
1.9.10
CVE-2025-69097は、VibeThemesが開発したWPLMS WordPressプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステム上の任意のファイルにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンは0.0.0から1.9.9.5.4です。プラグインのアップデートにより修正されています。
このパス・トラバーサル脆弱性は、攻撃者がWPLMSプラグインを通じてサーバー上の機密ファイルにアクセスすることを可能にします。例えば、設定ファイル、データベースのバックアップ、または他のアプリケーションのソースコードなどが盗まれる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの完全な制御を奪取したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。この脆弱性の影響範囲は広範囲に及び、Webサイトのセキュリティ全体を脅かす可能性があります。
この脆弱性は、2026年1月22日に公開されました。現時点では、公的に利用可能なPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVリストへの登録状況は不明です。
Websites using WPLMS plugin versions 0.0.0 through 1.9.9.5.4 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. WordPress sites with default or weak security settings are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wplms/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/wplms/path/to/file..%2e%2e/sensitive_file.txt"disclosure
エクスプロイト状況
EPSS
0.03% (7% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、WPLMSプラグインを最新バージョンにアップデートすることです。アップデートがすぐに利用できない場合は、WAF(Web Application Firewall)を導入して、パス・トラバーサル攻撃をブロックすることを検討してください。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーのアクセス制限を強化することも有効です。ファイルアクセスログを監視し、不審なアクセスがないか確認することも重要です。
既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
はい、CVE-2025-69097は、VibeThemesが開発したWPLMS WordPressプラグインにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密ファイルにアクセスする可能性があります。
WPLMSプラグインのバージョンが0.0.0から1.9.9.5.4の場合、影響を受けます。最新バージョンにアップデートすることで、この脆弱性を修正できます。
WPLMSプラグインを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WAFを導入したり、ファイルパーミッションを適切に設定したりするなど、代替の対策を検討してください。
現時点では、公的に利用可能なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
VibeThemesの公式ウェブサイトまたはWordPressプラグインリポジトリで、WPLMSプラグインの最新情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。