CVE-2025-2294 Targets WordPress Plugin with 90,000+ Active Installs
2025/03/30 SecurityOnline — WordPress の Kubio AI Page Builder プラグインに発見された、深刻なセキュリティ脆弱性により、この人気のツールを使用する Web サイトに重大なリスクが生じている。
Kubio とは、ブロック・エディターの機能を拡張するために設計された、革新的なブロック・ベースのアプローチで知られる WordPress Web サイト・ビルダーである。各種の新しいブロックと広範なスタイル設定オプションを提供するため、コーディングの知識がないユーザーであっても、Web サイトを迅速かつ簡単に作成できるようになる。このプラグインは 90,000 を超えるアクティブなインストール数を誇り、WordPress コミュニティ内で広く使用されている。
CVE-2025-2294
認証を必要としないローカル・ファイル ・インクルード
この脆弱性 CVE-2025-2294 は、Kubio AI Page Builder プラグインに存在する、LFI (Local File Inclusion) の欠陥である。この脆弱性が影響を及ぼす範囲は、このプラグインのバージョン 2.5.1 以下となる。
この欠陥を発見して報告したのは、セキュリティ研究者の mikemyers である。
技術的な詳細と影響
この脆弱性は、kubio_hybrid_theme_load_template 関数内に存在する。この LFI 脆弱性の悪用に成功した未認証の攻撃者は、サーバに任意のファイルを組み込んで取り込み、それを実行できるようになる。つまり、この問題により、それらのファイルにインクルードされた任意の PHP コードが実行されることになる。
この脆弱性の影響は深刻である。悪用が成功すると、以下の結果が引き起こされる可能性がある:
- アクセス制御のバイパス:特定のファイルとディレクトリへのアクセスを制限するための、セキュリティ対策の回避が可能になる。
- 機密データの取得:サーバ上に保存される機密情報への、攻撃者によるアクセスが可能になる。
- コード実行の達成: イメージ・ファイルなどの、一見すると無害に見えるファイルのアップロード・シナリオでは、それらの取り込みによる、悪意の PHP コードの実行につながる。
深刻度
この脆弱性に対しては、CVSS スコア 9.8 が割り当てられており、その重大度の高さと、広範囲にわたる損害の可能性が強調されている。
緩和策
このプラグインの脆弱性は、パッチ版であるバージョン 2.5.2 で修正されている。Kubio AI Page Builder プラグインのユーザーに対して、強く推奨されるのは、バージョン 2.5.2 以降へと速やかに更新し、潜在的な攻撃から Web サイトを保護することだ。
コーディングの知識がないユーザーであっても、本格的な Web サイトが作れてしまう時代です。その手軽さは魅力ですが、だからこそ、専門知識のないユーザーには、より丁寧なセキュリティ支援と情報提供が求められると感じます。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.