82,000+ WordPress Sites at Risk: TheGem Theme Vulnerabilities Allow Full Site Takeover
2025/05/14 SecurityOnline — Wordfence が開示した情報によると、ThemeForest で販売され、82,000件以上の実績を持つ、人気のプレミアム WordPress テーマ TheGem に、2つの深刻な脆弱性が発見されたようだ。これらの脆弱性 CVE-2025-4317/CVE-2025-4339 を、サブスクライバー・レベル以上のアクセス権を持つ、認証済みユーザーが悪用すると、影響を受ける Web サイトの完全な制御を奪われる可能性があるという。
Wordfence はレポートの中で、「脆弱性 CVE-2025-4317 は、任意のファイル・アップロードの欠陥であり、認証済の攻撃者に悪用されると、リモート・コード実行の可能性が生じる。それにより、サイト全体の乗っ取りにいたる恐れがある」と述べている。
脆弱性の概要
CVE-2025-4317 (CVSS 8.8):任意のファイル・アップロード
この脆弱性を悪用する認証済の攻撃者は、サイトのロゴ・アップロード機能を介して、PHP スクリプトを取り込んだファイル形式をサーバにアップロードできる。この機能は、ブランディング目的で画像ファイルのみを受け入れることを想定している、ファイル形式の検証が行われないため、悪質なコードのアップロードも可能になってしまう。
Wordfence のレポートには、「ダウンロードされたファイルは、デフォルトで公開されている WordPress アップロード・フォルダにコピーされる。この2つの脆弱性を連鎖させる攻撃者は、悪意の PHP コードをアップロードし、そのファイルにアクセスすることで、リモートコード実行の可能性を手にする」と警告している。
CVE-2025-4339 (CVSS 4.3):テーマ・オプションの不正変更
このテーマのバックエンドにある、ajaxApi() 関数のケイパビリティ・チェックの欠落により、2つ目の脆弱性が発生する。ノンスチェックは存在するが、それだけでは不十分である。サブスクライバー・レベルのアクセス権を持つ攻撃者は、ロゴ URL を含むコア・テーマ設定を操作できる。
Wordfence のレポートには、「それにより、認証済の攻撃者は、任意のテーマ・オプションを更新できるようになる。この制御により攻撃者は、自身の管理下にあるリモート PHP ファイルを指すよう、ロゴ URL を設定できる。
攻撃チェーンの仕組み
- テーマ・オプション更新の悪用 (CVE-2025-4339):ロゴ URL を、攻撃者が管理する PHP ペイロードを提供するドメインに設定する。
- ロゴの取得とアップロードのトリガー (CVE-2025-4317):TheGem は、外部ドメインから PHP ファイルを取得して保存し、公開されているアップロード・ディレクトリに配置する。
- リモートコードの実行:攻撃者はブラウザを介して PHP ファイルにアクセスし、標的のサイトで完全なコード実行を実現する。
この2つの脆弱性の組み合わせにより、権限の低いユーザーであっても、アクセス権限を昇格させ、サーバー全体を侵害することが可能になる。
影響と軽減策
アップデートが行われない場合には、以下の事態が発生する可能性がある:
- サイト全体の乗っ取り
- バックドアまたはWeb シェルのインストール
- 機密データの盗難
- SEO ポイズニングまたは改ざん
Wordfence は、「ユーザーに対して強く推奨されるのは、この記事の執筆時点で最新の、パッチ適用済みバージョンである TheGem 5.10.3.1 へと、速やかにアップデートすることである」と述べている。
この脆弱性は、セキュリティ研究者 Foxyyy により、Wordfence Bug Bounty Program を通じて開示された。同研究者は、$1,405 の報奨金を受け取った。
WordPress テーマの TheGem に脆弱性が発生していますが、悪用されると、サイトのっとりや機密データ盗難などに至る可能性があるとのことです。ご利用の方は、アップデートを忘れないよう、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.