InstaWP Connect Plugin Exposes WordPress Sites to Critical File Inclusion Vulnerability
2025/04/11 SecurityOnline — WordPress の InstaWP Connect プラグインに深刻なセキュリティ脆弱性が確認され、このツールを使用する Web サイトに重大なリスクが生じている。この脆弱性 CVE-2025-2636 は、未認証の ローカル PHP ファイル・インクルードの脆弱性であり、その影響を受ける Web サイトを、攻撃者が完全に制御する可能性がある。
InstaWP Connect は、WordPress のステージングと移行を容易にするために、InstaWP チームにより開発された WordPress プラグインである。InstaWP について説明すると、プラグインやテーマのテスト/製品のデモ/クライアントへのプロジェクト納品といった目的のための、WordPress Web サイト作成を可能にするプラットフォームとなる。このプラグインは、20,000以上の Web サイトで積極的に利用されている。
この脆弱性は、InstaWP Connect プラグインの “instawp-database-manager” パラメータに存在する。この脆弱性が影響を及ぼす範囲は、バージョン 0.1.0.85 以下である。このローカル・ファイル・インクルードの脆弱性により、未認証の攻撃者に対して、サーバ上での任意のファイル・インクルードを許すことになる。
この脆弱性を悪用されると、壊滅的な被害にいたる恐れがある。攻撃者は、以下のことを可能にする。
- アクセス制御の回避
- 機密データの取得
- コード実行
攻撃者は、画像などの無害に見えるファイルをアップロードし、それを埋め込み、実行することで、Web サーバを制御下に置くことが可能となる。
すでに InstaWP チームは、パッチを適用したバージョン 0.1.0.86 をリリースし、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、このバージョンへと速やかにアップデートし、潜在的な攻撃から Web サイトを保護することだ。
WordPress InstaWP プラグインに深刻な脆弱性が発見されました。このプラグインは、一時的な環境を作成する用途から、主に開発フェーズで使われる印象がありましたが、実際には運用フェーズでも継続して利用されるケースがあるようです。ご利用中の開発者やサイト管理者の方は、十分ご注意ください。なお、直近に他の WordPress プラグインの脆弱性もいくつか取り上げています。よろしければ、以下の関連記事も、WordPress で検索と併せてご利用ください。
2025/04/11:OttoKit の CVE-2025-3102 が FIX:悪用も検出
2025/04/10:SureTriggers の CVE-2025-3102 が FIX
2025/04/05:Uncanny Automator の CVE-2025-2075 が FIX
2025/03/31:MU-Plugins :悪意のコードを実行するペイロード
2025/03/30:Kubio AI Page Builder の CVE-2025-2294 が FIX
IoT OT Security News 
You must be logged in to post a comment.