🛡 概要
WordPressテーマ「Alone」において、認証なしで任意のファイルをアップロードできる重大な脆弱性が発見され、攻撃者がリモートコード実行(RCE)を行い、サイトの完全な乗っ取りを図っています。セキュリティ企業Wordfenceによると、120,000件以上の悪用試行がブロックされており、攻撃者は公開前にこの脆弱性を悪用していることが示唆されています。
🔍 技術詳細
この脆弱性はCVE-2025-5394として追跡されており、バージョン7.8.3までの全てのAloneテーマに影響を及ぼします。問題は、nonceチェックが欠如している「alone_import_pack_install_plugin()」関数に起因し、wp_ajax_nopriv_フックを介して公開されています。この関数はAJAX経由でプラグインをインストール可能で、POSTデータ内のリモートソースURLを受け入れるため、認証なしのユーザーがリモートURLからプラグインをインストールできることを可能にします。
⚠ 影響
攻撃者はこの脆弱性を利用して、ZIPアーカイブ内にウェブシェルをアップロードしたり、HTTPリクエストを介して持続的なリモートコマンド実行を可能にするパスワード保護されたPHPバックドアを展開したり、隠れた管理者ユーザーを作成することができます。場合によっては、攻撃者はフル機能のファイルマネージャーをインストールし、サイトのデータベースに完全にアクセスできる状態にすることもあります。これにより、新しい管理者ユーザーの出現や、怪しいZIP/プラグインフォルダの存在が侵害の兆候となります。
🛠 対策
Aloneテーマのユーザーは、バージョン7.8.5への更新を強く推奨します。このバージョンでは、Bearsthemesが脆弱性を修正しています。また、Wordfenceは攻撃が行われたIPアドレス(193.84.71.244、87.120.92.24、146.19.213.18、2a0b:4141:820:752::2)をブロックすることを推奨しています。さらに、サイトの監視を強化し、異常な動作や新しい管理者ユーザーの追加に注意を払うことが重要です。
