脆弱性の概要

• プラグイン/テーマ名: Drag and Drop Multiple File Upload (Pro) – WooCommerce
• 影響バージョン: 5.0 – 5.0.5
• 脆弱性タイプ: Unauthenticated Arbitrary File Upload
• CVE ID: CVE-2025-5746
• 重大度: クリティカル
• 公式ページURL: 不明

脆弱性の解説

今回お伝えするのは、WordPressプラグイン「Drag and Drop Multiple File Upload (Pro) – WooCommerce」における深刻な脆弱性についてです。

この脆弱性は、認証されていないユーザーが任意のファイルをアップロードできるというもので、攻撃者が悪意のあるファイルをサーバーにアップロードすることを可能にします。

具体的には、攻撃者は特定のエンドポイントを利用して、サーバー上に不正なスクリプトを配置し、リモートコード実行やデータの窃取を行うことができます。

この脆弱性が悪用されると、ウェブサイトの完全な制御を奪われる可能性があり、非常に危険です。

脆弱性の背景

この脆弱性は、ファイルアップロード機能の実装におけるセキュリティチェックの不足が原因で発生しました。

過去にも同様の脆弱性が他のプラグインで発見されており、ファイルアップロード機能は特に注意が必要な部分です。

このような脆弱性は、ウェブサイトの信頼性を損なうだけでなく、ユーザーの個人情報が漏洩するリスクもあるため、非常に重要です。

対策方法と影響

この脆弱性を修正するためには、プラグインをバージョン5.0.7にアップデートすることが推奨されます。

アップデートを行わない場合、攻撃者による不正アクセスやデータの改ざん、情報漏洩のリスクが高まります。

また、アップデート後も定期的なセキュリティチェックを行い、他の潜在的な脆弱性にも注意を払うことが重要です。

専門用語の解説

• CVSS: 共通脆弱性評価システムの略で、脆弱性の深刻度を評価するための基準です。
• CVE: 共通脆弱性識別子の略で、特定の脆弱性に対して一意の識別番号を付与するシステムです。
• Unauthenticated Arbitrary File Upload: 認証されていない状態で任意のファイルをアップロードできる脆弱性のことです。
• リモートコード実行: 攻撃者が遠隔からサーバー上で任意のコードを実行できる状態を指します。

情報元