無料スキャン
MEDIUMCVE-2025-14944CVSS 5.3

Backup Migration <= 2.0.0 - 認証されていないバックアップアップロードにおける認可の欠如 (Missing Authorization to Unauthenticated Backup Upload to Offline Storage)

プラットフォーム

wordpress

コンポーネント

backup-backup

修正版

2.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月
NVDで見る
保存

Backup Migration WordPress プラグインは、認証チェックの欠如により、Missing Authorization 脆弱性(CVE-2025-14944)の影響を受けます。この脆弱性により、攻撃者はバックアップアップロードキューの処理をトリガーし、設定されたクラウドストレージターゲットへの予期しないバックアップ転送やリソースの枯渇を引き起こす可能性があります。影響を受けるバージョンは 0.0.0 から 2.0.0 までです。バージョン 2.1.0 以降にアップデートすることで、この脆弱性を修正できます。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性は、認証されていない攻撃者が BackupBliss プラグインの 'initializeOfflineAjax' 関数を悪用することで、バックアップアップロードキューをトリガーできることを意味します。攻撃者は、プラグインの JavaScript に公開されているハードコードされたトークンを利用して、この機能を呼び出すことができます。これにより、攻撃者は意図しないバックアップ転送を開始し、クラウドストレージリソースを枯渇させ、潜在的に機密データを漏洩させる可能性があります。特に、バックアップ対象に機密情報が含まれる場合、この脆弱性の影響は大きくなります。攻撃者は、バックアッププロセスを悪用して、システムへのアクセスを確立しようとする可能性もあります。

悪用の状況

CVE-2025-14944 は、2026年4月7日に公開されました。現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていません。しかし、脆弱性の性質上、攻撃者による悪用が懸念されます。EPSS スコアは、現時点では評価中ですが、公開されている脆弱性情報と、攻撃者が容易に悪用できる可能性を考慮すると、中程度の脅威レベルであると想定されます。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報を定期的に確認し、最新の脅威情報に注意してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.05% (14% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L5.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントbackup-backup
ベンダーwordfence
影響範囲修正版
0.0.0 – 2.0.02.0.1

パッケージ情報

アクティブインストール数
90Kニッチ
プラグイン評価
4.9
WordPressが必要
4.6+
動作確認済みバージョン
7.0
PHPが必要
5.6+
ホームページ

弱点分類 (CWE)

CWE-862

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、まずBackupBliss WordPressプラグインをバージョン 2.1.0 以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、一時的な緩和策として、WAF (Web Application Firewall) を使用して、プラグインの 'initializeOfflineAjax' 関数への不正なアクセスをブロックできます。WAF ルールは、ハードコードされたトークンを検出し、それらを使用したリクエストを拒否するように設定する必要があります。また、プラグインの設定で、バックアップの頻度を減らすことで、リソースの枯渇のリスクを軽減できます。アップデート後、バックアッププロセスが正常に機能していることを確認してください。

修正方法

バージョン2.1.0にアップデートするか、より新しいパッチバージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-14944 とは何ですか?(BackupBliss – Backup & Migration with Free Cloud Storage)

これは、BackupBliss WordPress プラグインの認証不備による脆弱性で、攻撃者がバックアップアップロードキューをトリガーし、リソース枯渇を引き起こす可能性があります。

BackupBliss – Backup & Migration with Free Cloud Storage の CVE-2025-14944 による影響を受けていますか?

BackupBliss WordPressプラグインのバージョンが 0.0.0~2.0.0 の場合、この脆弱性の影響を受けます。

BackupBliss – Backup & Migration with Free Cloud Storage の CVE-2025-14944 を修正するにはどうすればよいですか?

BackupBliss WordPressプラグインをバージョン 2.1.0 以降にアップデートしてください。

CVE-2025-14944 は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていませんが、悪用される可能性はあります。

CVE-2025-14944 に関する BackupBliss – Backup & Migration with Free Cloud Storage の公式アドバイザリはどこで確認できますか?

NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで、最新の情報を確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索