プラットフォーム
wordpress
コンポーネント
ioncube-tester-plus
修正版
1.3.1
CVE-2025-69411は、Robert SeyfriedsbergerのionCube tester plusにおいて、パス・トラバーサル(ディレクトリ・トラバーサル)脆弱性が確認されています。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。影響を受けるバージョンは0.0.0から1.3までの範囲です。バージョン1.4へのアップデートで修正されています。
このパス・トラバーサル脆弱性は、攻撃者がionCube tester plusがインストールされているWebサーバー上の任意のファイルにアクセスすることを可能にします。攻撃者は、Webサーバーの構成ファイル、ソースコード、機密データなどの重要な情報を盗み出す可能性があります。攻撃者は、この脆弱性を利用して、Webサーバー上の他のアプリケーションにもアクセスを試み、さらなる攻撃を仕掛ける可能性があります。この脆弱性の影響範囲は、Webサーバーのセキュリティ設定やアクセス権限によって大きく異なりますが、機密情報の漏洩やWebサーバーの乗っ取りにつながる可能性があります。
この脆弱性は、公開されている情報に基づいて悪用される可能性があります。現時点では、KEV(Known Exploited Vulnerabilities)に登録されていませんが、攻撃者による悪用が確認された場合、CISAがKEVに登録する可能性があります。公開されているPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、注意が必要です。2026年3月5日に公開されました。
WordPress websites utilizing the ionCube tester plus plugin, particularly those running older versions (0.0.0–1.3), are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/ioncube-tester-plus/*• generic web:
curl -I http://your-wordpress-site.com/ioncube-tester-plus/../../../../etc/passwddisclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
まず、影響を受けるionCube tester plusのバージョンをバージョン1.4にアップデートすることを強く推奨します。アップデートが困難な場合は、Webサーバーの設定でionCube tester plusのディレクトリへのアクセスを制限するなどの対策を講じる必要があります。また、WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。定期的なログ監視を行い、不審なアクセスがないか確認することも重要です。
バージョン 1.4、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-69411は、ionCube tester plus (0.0.0–1.3)におけるパス・トラバーサル脆弱性であり、攻撃者が本来アクセスできないファイルを読み取ることが可能になります。
ionCube tester plusのバージョンが0.0.0から1.3までの場合は影響を受けます。バージョン1.4へのアップデートが必要です。
バージョン1.4へのアップデートが最も効果的な修正方法です。アップデートが難しい場合は、Webサーバーの設定でアクセス制限を強化してください。
現時点では、積極的に悪用されているという報告はありませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、注意が必要です。
Robert Seyfriedsbergerの公式ウェブサイトまたは関連するセキュリティコミュニティでアドバイザリを確認してください。
CVSS ベクトル
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。