🛡 概要
サービスファインダーはサービスディレクトリや求人サイト向けに設計されたプレミアムWordPressテーマです。しかし、このテーマにはCVE-2025-5947という重大な脆弱性が存在し、攻撃者が認証をバイパスして管理者としてログインすることを可能にしています。Wordfenceによると、8月1日以降、13,800件以上の攻撃が記録されています。この脆弱性は、特にバージョン6.0以前のService Finderに影響を与え、適切なクッキーの検証が行われていないことが原因です。
🔍 技術詳細
この脆弱性は、service_finder_switch_back()関数内のoriginal_user_idクッキーの不適切な検証から生じています。特に、攻撃者は特定のHTTP GETリクエストを使用して、既存のユーザーに成りすますことができます。CVE-2025-5947はCVSSスコア9.8の重大な脆弱性であり、攻撃者は認証なしで任意のユーザーとしてログインできるため、非常に危険です。Wordfenceは、攻撃の多くが特定のIPアドレスから発信されていることを確認しており、これらのアドレスはブロックリストに追加することが推奨されますが、攻撃者は新しいIPアドレスに切り替える可能性があります。
⚠ 影響
この脆弱性により、攻撃者はWordPressの管理者権限を取得し、コンテンツや設定の完全な制御を持つことができます。これにより、アカウントの作成やPHPファイルのアップロード、データベースのエクスポートが可能になります。Wordfenceは、特に攻撃の急増が見られたため、サイト管理者はログをレビューし、疑わしいアクティビティやアカウントを確認することが重要です。ログに不審なエントリが存在しない場合でも、サイトが侵害されていない保証はありません。
🛠 対策
Service Finderテーマのユーザーは、脆弱性を修正したバージョン6.1を早急に適用することが推奨されます。更新を適用できない場合は、プラグインの使用を停止することを検討してください。また、攻撃者が作成した可能性のあるアカウントを特定するために、すべてのログを確認することが重要です。特に、’switch_back’パラメータを含むリクエストに注意を払う必要があります。攻撃が続いている中で、迅速な対応が求められます。
