脆弱性の概要

• プラグイン/テーマ名: StreamTube Core
• 影響バージョン: 4.78 以下
• 脆弱性タイプ: Unauthenticated Arbitrary User Password Change
• CVE ID: CVE-2025-13615
• 重大度: クリティカル
• 公式ページURL: 不明

脆弱性の解説

今回お伝えするのは、WordPressプラグイン「StreamTube Core」における深刻な脆弱性についてです。

この脆弱性は、認証されていない攻撃者が任意のユーザーのパスワードを変更できるというものです。

具体的には、攻撃者が特定のリクエストを送信することで、ユーザーのパスワードを変更し、アカウントに不正アクセスする可能性があります。

この脆弱性が悪用されると、攻撃者は管理者権限を持つアカウントにアクセスし、サイト全体を制御することができるため、非常に危険です。

脆弱性の背景

この脆弱性は、プラグインの認証機構における不備から発生しています。

過去にも同様の脆弱性が他のプラグインで発見されており、ユーザーの認証情報を適切に保護することの重要性が再認識されています。

特に、WordPressのような広く利用されているプラットフォームでは、こうした脆弱性が発見されると多くのサイトに影響を及ぼすため、迅速な対応が求められます。

対策方法と影響

この脆弱性に対する最も効果的な対策は、プラグインをバージョン4.79にアップデートすることです。

アップデートを行うことで、脆弱性が修正され、攻撃者による不正アクセスのリスクを軽減できます。

もしアップデートを行わない場合、攻撃者によってサイトが乗っ取られる可能性があり、データの漏洩や改ざんといった深刻な被害を受ける恐れがあります。

専門用語の解説

• CVSS: Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を評価するための基準です。
• CVE: Common Vulnerabilities and Exposuresの略で、公開されている脆弱性に対して一意の識別子を付与するためのシステムです。
• Unauthenticated: 認証されていない状態を指し、通常はログインしていないユーザーを意味します。
• Arbitrary: 任意の、という意味で、攻撃者が自由に操作できることを示します。

情報元