CVE-2025-47539: Critical Privilege Escalation Flaw Hits 10K+ WordPress Eventin Sites
2025/05/16 SecurityOnline — WordPress で人気を誇る Eventin 管理プラグインに深刻な脆弱性が発見され、それを修正するプログラムが公開されている。このプラグインを利用することで、出欠確認/チケット販売などの、カレンダー・ベースのイベントを管理するサイトは、10,000+ に達すると言われている。
この脆弱性 CVE-2025-47539 (CVSS:9.8) は、Themewinter が開発/提供する Eventin プラグインに影響を及ぼす。この脆弱性を悪用する未認証の攻撃者は、脆弱な REST API エンドポイントを介して権限を管理者に昇格させ、サイト全体でセキュリティ侵害を引き起こす可能性を手にする。
この脆弱性は、セキュリティ研究者である Denver Jackson により発見され、Patchstack Zero Day Initiative に対して適切に報告され、$600 の報奨金が支払われた。
Patchstack は、「この脆弱性は、/wp-json/eventin/v2/speakers/import REST API エンドポイントで発生するが、ユーザーによるインポート時の権限チェックの欠落に起因する」と説明している。
この問題のコアは、Eventin プラグインの permission_callback 関数の欠陥にある。具体的に言うと、import_item_permissions_check() が設定されていても、この関数は常に true を返すため、未認証のユーザーによるエンドポイント・アクセスが可能になってしまう。
register_rest_route( $this->namespace, $this->rest_base . '/import', [
[
'methods' => WP_REST_Server::CREATABLE,
'callback' => [$this, 'import_items'],
'permission_callback' => [$this, 'import_item_permissions_check'],
]
] );
core/speaker/Api/SpeakerController.php
このレポートは、「特別に細工された CSV ファイルを介して、この脆弱性が悪用されると、不正なユーザーの作成につながる。未認証のユーザーであっても、”/wp-json/eventin/v2/speakers/import” コマンドにより、攻撃者の詳細情報を取り込んだ CSV ファイルを POST して実行できる。この CSV ファイルには、管理者権限を持つ攻撃者の詳細情報が取り込まれている」と述べている。
脆弱なコード・パスには、以下のコードが取り込まれている:
- $importer->import($file);
- $this->create_speaker();
このパスはファイルを処理し、攻撃者が新たに定義するユーザーを作成するが、その際に管理者権限などを付与できる。それにより、サイトの完全な制御が、攻撃者に奪われてしまう。
すでに、Eventin のバージョン 4.0.27 で、この脆弱性は修正されている。サイト管理者に強く推奨されるのは、以下の対策である:
- Eventin プラグインの速やかなアップデート
- ユーザー・リスト上での不審な管理者アカウントの監査
- すべての管理者のパスワードをリセットし、2FA を有効化
WordPress Eventin Plugin に、CVSS 値が 9.8 の深刻な権限昇格の脆弱性が発生したとのことです。ご利用のチームは、アップデートをお急ぎください。よろしければ、WordPress + Plugin で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.