Patchstackは1月10日(現地時間)、「Critical Vulnerability Patched in GiveWP Plugin - Patchstack」において、WordPressの寄付および募金プラグイン「GiveWP – Donation Plugin and Fundraising Platform」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されていない第三者に遠隔から任意のコードを実行される可能性がある。

  • Critical Vulnerability Patched in GiveWP Plugin - Patchstack

    Critical Vulnerability Patched in GiveWP Plugin - Patchstack

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-22777 - 信頼できないデータのデシリアライズの脆弱性。認証されていない第三者が、細工した入力を介して悪意のあるメタデータを保存させ、任意のファイルを削除する可能性がある。この攻撃に成功するとWebサイトの乗っ取り、またはリモートコード実行(RCE: Remote Code Execution)が可能になる(CVSSスコア: 9.8)

この脆弱性は、2024年8月に公開された脆弱性「CVE-2024-5932」の修正が不完全だったことに起因する。攻撃者は特殊文字シーケンスを悪用することで、この修正をバイパスできる。

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • GiveWP 3.19.3およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • GiveWP 3.19.4

影響と対策

WordPressの寄付および募金プラグイン「GiveWP – Donation Plugin and Fundraising Platform」は、10万以上のWebサイトが利用している人気のプラグイン。本稿執筆時点において、半数以上のWebサイトが脆弱なバージョンを運用しているものとみられる。

  • プラグインのバージョン分布 - 引用:wordpress.org

    プラグインのバージョン分布 引用:wordpress.org

発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者は、速やかにプラグインをアップデートすることが推奨されている。