WordPress Plugin CVE-2025-2563 Scores 9.8, Threatens Thousands of Membership Sites
2025/03/27 SecurityOnline — Web サイトのメンバーシップや登録フォームの作成で人気を博している、WordPress の User Registration & Membership プラグインに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-2563 の CVSS スコアは 9.8 であり、高い深刻度を示している。
この、メンバーシップとユーザー登録のプラグインは、WordPress Web サイトにメンバーを統合するプロセスを簡素化する。具体的な機能として、登録フォーム/メンバーシップ・グループ/ログイン・フォーム/ユーザー・プロファイル/コンテンツ制限などの機能を備える、包括的なメンバーシップ・エコシステムを提供している。
このプラグインは、60,000 を超えるアクティブなインストールを持ち、WordPress コミュニティで広く使用されている。
脆弱性 CVE-2025-2563 は、このプラグインの “prepare_members_data()” 関数に存在する。そのロール・タイプに対する不十分な制限を悪用する、未認証の攻撃者は、管理者権限を持つ新しいユーザー・アカウントを作成できる。この権限昇格を達成する攻撃者は、影響を受ける WordPress Web サイトの完全な制御を可能にするため、大きなリスクが生じる。
影響を受ける範囲は、User Registration & Membership プラグインのバージョン 4.1.1 以下となる。すでに、User Registration & Membership プラグインの開発者は、バージョン 4.1.2 をリリースし、この重大な脆弱性に対処している。
ユーザーに対して強く推奨されるのは、この最新バージョンへと速やかにアップデートし、潜在的な攻撃から Web サイトを保護することだ。
WordPress User Registration & Membership に、CVSS 9.8 の深刻な脆弱性が発生しています。本文中に記載はありませんが、この脆弱性 CVE-2025-2563 に対する PoC エクスプロイトが、GitHub で公開されています。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.