Critical WordPress Plugin Vulnerability Exposes Over 40,000 Websites to Code Execution Attacks
2025/03/20 SecurityOnline — WordPress の人気プラグイン Age Gate に、深刻な脆弱性 CVE-2025-2505 (CVSS:9.8) が発見された。この脆弱性により、40,000 以上の Web サイトに、認証を必要としないリモート・コード実行の可能性が生じている。
Age Gate プラグインは、年齢制限のあるコンテンツに関する規制に準拠するために、また、ユーザーの年齢に基づいてコンテンツを制限するために、WordPress サイトの所有者たちにより広く使用されている。
ただし、バージョン 3.5.3 以下においては、Local PHP File Inclusion (LFI) の脆弱性が発生しており、”lang” パラメータを介した悪用を、攻撃者に許す可能性が生じている。
このセキュリティ欠陥の悪用に成功した未認証の攻撃者は、サーバに任意の PHP ファイルを取り込み、それらを実行できるようになる。その結果として、以下のアクティビティが発生し得る。
- アクセス制御のバイパス
- 機密データの抽出
- イメージ・ファイル・タイプをアップロードできる場合の、任意のコードの実行
この脆弱性から生まれるリスクは深刻であり、サーバ全体の侵害にいたる可能性もある。脆弱性 CVE-2025-2505 を悪用する攻撃者は、以下のアクションを取り得る。
- 悪意のある PHP スクリプトのリモート実行
- 長期的な制御のための永続的なバックドアの確立
- Web サーバ・コンフィグの抜け穴の悪用による権限昇格
許可されたイメージ・ファイルなどに偽装した悪意の PHP ファイルを、攻撃者がアップロードできる場合には、この脆弱性を悪用することで、それらのファイルを強制的に実行し、影響を受ける Web サイトを完全に制御できる。
すでに Age Gate プラグインの開発者は、パッチ・バージョン 3.5.4 をリリースし、このセキュリティ欠陥を解決している。Web サイト管理者と WordPress ユーザーに強く推奨されるのは、Age Gate プラグインを速やかに更新し、リスクを軽減することだ。
このブログでは、今月に入って4件目となる、WordPress Plugin の脆弱性に関する記事です。今回の脆弱性 CVE-2025-2505 は、認証なしで悪用が可能な深刻なものです。ご利用のチームは、パッチの適用をご検討下さい。よろしければ、以下の関連記事も、WordPress で検索と併せて ご利用ください。
2025/03/11:WordPress HUSKY (WOOF) の CVE-2025-1661 が FIX
2025/03/05:WordPress Chaty Pro の CVE-2025-26776 が FIX
2025/03/04:WordPress GiveWP の CVE-2025-0912 が FIX
IoT OT Security News 
You must be logged in to post a comment.