Defiantは6月19日(米国時間)、「Attackers Actively Exploiting Critical Vulnerability in Motors Theme」において、WordPressの人気テーマ「Motors」から重大な脆弱性が発見されたと報じた。この脆弱性を悪用されると、遠隔から認証されていない第三者にWebサイトを乗っ取られる可能性がある。
この脆弱性は5月19日に詳細情報が公開された。同社によると、その翌日から小規模な攻撃が観測されるようになり、6月7日には大規模な攻撃が観測されたという。その後も脆弱性の悪用が続いていることから、同社はあらためて注意を喚起している。
-
Attackers Actively Exploiting Critical Vulnerability in Motors Theme
脆弱性の情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-4322 - 不十分な認証確認の脆弱性。認証されていないリモートの攻撃者は、管理者を含む任意のパスワードを変更できる可能性がある(CVSSスコア: 9.8)
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- Motors バージョン5.6.67およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Motors バージョン5.6.68
影響と対策
WordPressのテーマ「Motors」は自動車関連のWebサイトに人気があり、Envato Market(themeforest.net)では22,469件の販売実績がある。Defiantは6月7日、9日、17日に大規模な攻撃を観測したと報告しており、今後も攻撃が継続するものと見られる。
-
Defiantの顧客に対する攻撃件数の推移 引用:Defiant
攻撃者は管理者パスワードを変更して侵入することが確認されている。そのため、正規の管理者パスワードを使用してログインできない場合は、侵害されている可能性がある。
対象の脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Defiantは当該製品を運用している管理者に対し、速やかなテーマのアップデートを推奨している。なお、攻撃者は侵害後に管理者アカウントを追加し、永続性を確保したとの指摘がある。対策時には不審なアカウントについても調査して削除する必要がある。
Windows 10で普及しなかった機能10選
