Source: https://www.securityweek.com/motors-theme-vulnerability-exploited-to-hack-wordpress-websites/
🛡 概要
WordPressのMotorsテーマにおける重大な脆弱性が、公開されてから数週間後に大規模な悪用が始まったと、WordPressのセキュリティ企業Defiantが警告しています。このテーマは、自動車販売業者向けに設計されており、事前に構築されたウェブサイトやテンプレート、ユーザーおよびディーラー管理のサポートを提供します。特に、CVE-2025-4322として追跡されるこの脆弱性は、アカウント乗っ取りを通じた権限昇格の問題です。
🔍 技術詳細
この脆弱性は、ユーザーのIDを適切に検証せずにアカウントのパスワードを更新できるために発生します。その結果、攻撃者は任意のユーザーアカウントのパスワードを変更できるようになります。この問題は、MotorsテーマのLogin Registerウィジェットに存在し、パスワードリカバリ機能が脆弱です。具体的には、ユーザーメタ値のハッシュが空であれば、パスワードの更新を防止しないため、攻撃者は、ユーザーがパスワードリセットを要求していない場合にパスワードを更新できます。CVE-2025-4322のCVSSスコアは9.8であり、これは非常に高い危険度を示しています。Defiantは、5月14日にこの脆弱性が修正され、5月19日に公表されたと述べています。
⚠ 影響
この脆弱性は、Motorsテーマを使用している22,000以上のウェブサイトに影響を及ぼしています。Defiantは、脆弱性が公表されて以来、23,000件以上の攻撃試行をブロックしたと報告しています。攻撃者がこの脆弱性を成功裏に悪用すると、サイトの完全な乗っ取りが可能となり、すべての管理機能にアクセスできるようになります。これにより、プラグインやテーマファイルのアップロードが可能となり、悪意のあるZIPファイルを含むバックドアを設置したり、投稿やページを改ざんして、ユーザーを他の悪意のあるサイトにリダイレクトしたり、スパムコンテンツを挿入することができます。
🛠 対策
CVE-2025-4322はMotorsテーマのバージョン5.6.68で解決されています。ユーザーは、修正されたバージョンまたはそれ以降のリリースに速やかにアップデートすることが推奨されます。定期的なテーマの更新とセキュリティパッチの適用は、サイトを保護するために不可欠です。また、脆弱性の監視や不審な活動の早期発見も重要です。セキュリティ対策を講じることで、WordPressサイトを安全に保つことができます。
