Patchstackは1月10日(現地時間)、「Critical Vulnerability Patched in GiveWP Plugin - Patchstack」において、WordPressの寄付および募金プラグイン「GiveWP – Donation Plugin and Fundraising Platform」から緊急の脆弱性が発見されたと報じた。
この脆弱性を悪用されると、認証されていない第三者に遠隔から任意のコードを実行される可能性がある。
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-22777 - 信頼できないデータのデシリアライズの脆弱性。認証されていない第三者が、細工した入力を介して悪意のあるメタデータを保存させ、任意のファイルを削除する可能性がある。この攻撃に成功するとWebサイトの乗っ取り、またはリモートコード実行(RCE: Remote Code Execution)が可能になる(CVSSスコア: 9.8)
この脆弱性は、2024年8月に公開された脆弱性「CVE-2024-5932」の修正が不完全だったことに起因する。攻撃者は特殊文字シーケンスを悪用することで、この修正をバイパスできる。
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- GiveWP 3.19.3およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- GiveWP 3.19.4
影響と対策
WordPressの寄付および募金プラグイン「GiveWP – Donation Plugin and Fundraising Platform」は、10万以上のWebサイトが利用している人気のプラグイン。本稿執筆時点において、半数以上のWebサイトが脆弱なバージョンを運用しているものとみられる。
発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者は、速やかにプラグインをアップデートすることが推奨されている。