クリティカルCVE-2025-4389にヒットしたクロロマティックワードプレスプラグイン

人気のあるWordPressプラグイン、Crawlomatic Multisite Scraper Postジェネレーターで、重度のセキュリティの脆弱性が発見されており、数千のWebサイトを危険にさらす可能性があります。 CVE-2025-4389として追跡されるこの欠陥により、未認識の攻撃者は悪意のあるファイルをアップロードすることができ、最終的には影響を受けるWebサイトでリモートコード実行につながる可能性があります。

Envato Codecanyon Marketplaceでライセンスごとに59ドルで販売されているCrawlomaticプラグインは、広く使用されているオートブログツールです。 WordPressユーザーは、フォーラム、RSSフィード、気象統計、さらにはJavaScriptベースのWebサイトなど、さまざまなソースからコンテンツをこすり、再発行できます。ウェブサイトを「金makingけマシン」に変える機能を宣伝しています。

販売ページに顕著に取り上げられているのは、「Envato WP要件に準拠している」など、Envatoの「WordPress Quality Standards」を満たしていることを示すバッジです。これは、プラグインが強力なセキュリティに従っていると思われることを示唆しており、 コーディング 実践 – 新たに発見されたクローロマティックな脆弱性に続いて、今や深刻な質問にあります。

CVE-2025-4389の詳細

問題の中核は、プラグインのファイルタイプ検証が欠落していることにあります クロロマティック_generate_featured_image（） 関数。この欠陥は、2.6.8.1までのすべてのバージョンに存在するため、攻撃者は、あらゆる形式の認証なしで任意のファイル（潜在的に危険なスクリプトを含む）をアップロードできます。

によると ワードフェンス、問題を明らかにしたセキュリティ会社、脆弱性は リモートコード実行、攻撃者に影響を受けるウェブサイトを完全に制御できます。

• 脆弱性名：承認されていない任意のファイルアップロード
• 影響を受けるバージョン：≤2.6.8.1
• パッチバージョン：2.6.8.2
• CVSSスコア：9.8（クリティカル）
• CVSSベクトル：CVSS：3.1/AV：n/ac：l/pr：n/ui：n/s：u/c：h/i：h/a：h
• 開示日：2025年5月16日
• 研究者：Foxyyy

この脆弱性が危険な理由

クロロマティックの重大な脆弱性は、搾取の容易さのために疑いを持たない被害者を標的とする可能性があります。認証やユーザーの相互作用は必要ありません。また、サーバーを完全に損なう可能性のあるファイルアップロードを可能にします。 9.8のCVSSスコアは、この問題を「重要な」範囲に配置します。

これは、最も危険なタイプのものの1つである無許可のarbitrary意的なファイルのアップロード欠陥の教科書の例です。 脆弱性 Webアプリケーションで。このレベルのアクセスにより、攻撃者はWebサイトを汚したり、ユーザーデータを盗んだり、永続的なインストールを行うことができます マルウェア。

プラグイン開発者は、適切なファイルタイプの検証を追加することにより、問題に対処するパッチバージョン2.6.8.2をリリースすることで応答しました。プラグインのユーザーは、潜在的な妥協を避けるためにすぐに更新することを強くお勧めします。

まだ更新されていない人は高くなっています リスク、攻撃ベクトルの単純さを考えると、エクスプロイトを自動化および広く分布させることができます。

関連している