WordPress テーマ Alone の深刻な脆弱性 CVE-2025-5394 が FIX:RCE によるサイト乗っ取りの可能性

WordPress Theme Security Vulnerability Enables to Execute Arbitrary Code Remotely

2025/07/30 gbhackers — 人気の WordPress テーマ Alone に、深刻なセキュリティ脆弱性の存在が判明した。この脆弱性の悪用に成功した未認証のリモート攻撃者は、任意のコード実行を達成し、影響を受ける Web サイトの完全な制御を奪う可能性を手にする。この脆弱性 CVE-2025-5394 は、ThemeForest 上で 9,000 件以上も販売されている、慈善団体/非営利団体向けのテーマに影響を及ぼすという。

脆弱性の詳細とタイムライン

このセキュリティ上の欠陥は、テーマ内のプラグイン・インストール機能に、具体的には、alone_import_pack_install_plugin() 関数における認証チェックの欠如に起因する。この脆弱性を悪用する未認証の攻撃者は、リモートからプラグインを装う悪意の ZIP ファイルをアップロードし、リモート・コード実行を実現する。

Wordfence の研究者たちが確認したのは、この脆弱な関数において機能チェックとノンス検証の双方が欠落していることであり、wp_ajax_nopriv_alone_import_pack_install_plugin AJAX アクションを通じて、すべての訪問者にアクセスが許されることだ。

プラグインの ‘slug’ とリモートの ‘source’ を指定することで、この機能を悪用する攻撃者は、外部サーバから悪意のプラグインをインストールできる。

この脆弱性が影響を及ぼす範囲は、Alone テーマのバージョン 7.8.3 以下である。このベンダーは、責任ある情報開示プロトコルに従い、2025年6月16日にパッチ適用済のバージョン 7.8.5 を公開した。

しかし、セキュリティ研究者たちが観測したのは、この脆弱性を攻撃者が悪用し始めたのが、公開日である 2025年7月14日の2日前となる、2025年7月12日であったことだ。

属性詳細
AttributeDetails
CVE IDCVE-2025-5394
CVSS Score9.8 (Critical)
Affected SoftwareAlone – Charity Multipurpose Non-profit WordPress Theme
Affected Versions<= 7.8.3
Patched Version7.8.5
Vulnerability TypeMissing Authorization to Unauthenticated Arbitrary File Upload

Wordfence セキュリティ・チームが報告したのは、パッチが公開されて以降に、この脆弱性を狙う 120,900 件以上のエクスプロイト試行をブロックしたことだ。この攻撃は、主に 193.84.71.244/87.120.92.24/146.19.213.18 などの IP アドレスから発信され、1つ目の IP アドレスからのリクエスト数は約 40,000 件に上るという。

それらの攻撃者たちは、バックドア/ファイルマネージャ/スクリプトなどをインストールし、悪意の管理者アカウントを作成していることが確認されている。悪意のプラグイン群は、 “wp-classic-editor.zip” や “background-image-cropper.zip” といった、本物のように見える名称で偽装されている場合が多いという。

なお、Wordfence Premium/Care/Response のユーザーたちは、2025年5月30日の時点で、ファイアウォールによる保護の提供を受けている。また、無料ユーザーたちは、標準の 30 日間の猶予期間を経て、2025年6月29日の時点で同様の保護を受けている。

Alone テーマを使用している Web サイト管理者にとって必要なことは、バージョン 7.8.5 へと速やかにアップデートを行い、プラグイン・ディレクトリ内の不審なインストールの存在を確認することである。

WordPress の Alone テーマの脆弱性ですが、そこで用いられる関数に、認証チェックが欠けていたことが原因とのことです。そのため、リモートの誰もに、悪意の ZIP ファイルをアップロードし、Web サイトを乗っ取れる可能性が生じていたようです。ご利用のチームは、十分に ご注意ください。よろしければ、WordPress で検索も、ご参照ください。