1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. WordPressのプラグイン「Uncanny Automator」に深刻な権限昇格の脆弱性(CVE-2025-2075)【注意喚起】

WordPressのプラグイン「Uncanny Automator」に深刻な権限昇格の脆弱性(CVE-2025-2075)【注意喚起】

セキュリティニュース

投稿日時: 更新日時:

Uncanny Automatorプラグインに深刻な権限昇格の脆弱性(CVE-2025-2075)【注意喚起】

2025年3月、WordPressプラグイン「Uncanny Automator」に深刻な権限昇格の脆弱性(CVE-2025-2075)が発見されました。この脆弱性により、サブスクライバー権限以上の認証済みユーザーが、自身の権限を管理者にまで引き上げることが可能になります。

本プラグインは、ワークフローの自動化や他プラグインとの連携機能で広く使われており、50,000件以上のサイトでアクティブに導入されています。

脆弱性の対象バージョン

6.3.0.2 以前のバージョン

脆弱性の対策バージョン

6.4.0以上のバージョン

脆弱性の概要

この脆弱性は、REST API経由で呼び出される add_role() および user_role() 関数に対して、適切な権限チェックが行われていなかったことが原因です。これにより、攻撃者は自身のアカウントを利用して、任意のユーザーの権限を管理者へと変更することが可能になります。

実際に起こりうるリスク

本脆弱性を悪用された場合、以下のような被害が想定されます。

  • 管理者権限の不正取得

  • 悪意のあるプラグイン・テーマのアップロードによるバックドア設置

  • 投稿・固定ページの改ざんやリダイレクト設定

  • サイト訪問者へのマルウェア配布やスパム表示

攻撃者が管理者権限を取得することで、サイト全体の乗っ取りが可能になる重大なリスクが伴います。

関連記事

WordPressのプラグイン「The Events Calendar」でSQLインジェクションの脆弱性が発見(CVE-2024-8275)WordPressのプラグイン「The Events Calendar」でSQLインジェクションの脆弱性が発見(CVE-2024-8275) WordPressのプラグイン「Widget Options」で重大な脆弱性(CVE-2024-8672)10万以上のサイトに影響WordPressのプラグイン「Widget Options」で重大な脆弱性(CVE-2024-8672)10万以上のサイトに影響 WordPressのオンライン 教育コースを作成する人気プラグイン「LearnPress」で重大な脆弱性(CVE-2024-8522、CVE-2024-8529)が発生しています。 両脆弱性ともにCVSS スコア が最大の10と非常に危険なので対象者は今すぐアップデートが必要です。WordPressの人気プラグイン「LearnPress 」で重大な脆弱性 対象者は今すぐアップデートを F5 BIG-IPの脆弱性のPoCがリリース(CVE-2025-20029)F5 BIG-IPの脆弱性 PoCがリリース(CVE-2025-20029) Go言語のフレームワーク「Beego」で深刻な脆弱性(CVE-2025-30223)、対象者はアップデートをGo言語のフレームワーク「Beego」で深刻な脆弱性(CVE-2025-30223)、対象者はアップデートを パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775) Veeamの製品で危険度の高い複数の脆弱性(CVE-2024-38650,CVE-2024-39714)が発生しています。アップデートで解決できるので対象者は速やかにアップデートする必要があります。Veeamの製品で危険度の高い複数の脆弱性 Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081)