WordPress Case Theme User プラグインの脆弱性 CVE-2025-5821 が FIX:認証バイパスと管理者権限の奪取

WordPress Plugin Vulnerability Let Attackers Bypass Authentication via Social Login

2025/09/16 CyberSecurityNews — WordPress Case Theme User プラグインに、深刻な認証バイパスの脆弱性 CVE-2025-5821 (CVSS:9.8) が発見された。この脆弱性を悪用する未認証の攻撃者は、ソーシャル・ログイン機能を悪用することで、Web サイトの管理者権限を取得する可能性があるため、深刻なセキュリティ脅威が生じている。この脆弱性が影響を及ぼす範囲は、バージョン 1.0.3 以下であり、世界中の約 12,000 のアクティブ・インストールが対象となる。標的のメール・アドレスを特定できる攻撃者であれば、認証を完全にバイパスし、管理者レベルの任意のユーザー・アカウントに不正アクセスできる。

この脆弱性が危険な理由は、その悪用の単純さにある。攻撃者は高度なツールや専門的な技術知識を必要とせずに、単純な HTTP リクエストを介して悪用が可能である。2025年8月22日の時点で、この脆弱性が公開された直後から、攻撃者は悪用を開始し、その翌日には攻撃が展開されたという。

Wordfence によると、この脆弱性はバグ報奨金プログラムを通じて発見されたものであり、すでに同社のファイアウォールは、20,900 件以上のエクスプロイト試行をブロックしたとされる。WordPress サイトへの迅速な侵入を狙うサイバー犯罪者にとって、このエクスプロイトが魅力的であることを示している。

このプラグインは、複数のプレミアム・テーマにバンドルされており、スタンドアロン環境を超えて攻撃対象領域が拡大している。

admin@domain.comowner@domain.comoffice@domain.com といった、一般的なパターンの管理者メール・アドレスを、攻撃者が推測する手法も確認されており、複数の標的に対する体系的なエクスプロイト試行が示唆される。

悪用メカニズムとコード分析

この脆弱性の原因は、Case_Theme_User_Ajax クラス内の facebook_ajax_login_callback() 関数のロジックにある。この関数は、提供されたメール・アドレスをベースにしてユーザー・アカウントを作成し、ソーシャル・ログイン・リクエストを処理するが、アクセスを許可する前の認証で、不適切な検証を引き起こしている。

このエクスプロイト・プロセスは2段階で構成される。第1段階では、攻撃者が自身のメール・アドレスを用いて “/wp-admin/admin-ajax.php” への POST リクエスト (action パラメータを facebook_ajax_login に設定) を送信し、一時的なユーザー・アカウントを登録する。そのリクエストには、悪意のペイロードである偽造された Facebook ユーザー・データ (例:data[name]=temp、data[email]=temp@attacker.com) が含まれるため、正当なユーザー・セッションが作成される。

第2段階では、すでに確立されたセッションを悪用する攻撃者が、同一の一時的なユーザー名を使用して被害者のメール・アドレスを置き換えるリクエストを送信し、標的ユーザーを装いながら認証を通過する。つまり、脆弱なコードが、オリジナルの認証トークンを検証せず、メール・アドレスでユーザーを判別するため、セッション権限により標的アカウントが乗っ取られてしまう。

すでに、このプラグインの開発者は、バージョン 1.0.4 の公開により、この問題に対処している。アクセス権を付与する前の適切な認証が、この修正パッチにより実装される。

Web サイト管理者にとって必要なことは、この最新版へと速やかにアップデートすることだ。さらに、既知の悪意ある IP アドレス (2602:ffc8:2:105:216:3cff:fe96:129f/ 146.70.186.142 を含む) からの、不審な AJAX リクエストについてアクセス・ログを確認する必要がある。

WordPress の Case Theme User プラグインの脆弱性により、ソーシャル・ログイン処理の不備を突く攻撃が可能になります。この問題は、ユーザーを識別する際に、正しい認証トークンを確認せず、メール・アドレスだけで判定してしまう点にあります。そのため、攻撃者は自分の一時アカウントを作成した後に、被害者のメール・アドレスへ置き換えることで、管理者権限を持つセッションの乗っ取りを可能にすると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。