1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322)

WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322)

セキュリティニュース

投稿日時: 更新日時:

WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322)

WordPressで利用されている人気テーマ「Motors」において、認証なしで管理者権限を奪取できる重大な脆弱性(CVE-2025-4322)が発見されました。影響を受けるバージョンは5.6.67以下で、販売実績22,000件以上のサイトがリスクにさらされています。

管理者のパスワードを任意にリセット可能

問題となったのは、Motorsテーマに含まれる「Login Register」ウィジェット内のパスワードリセット処理の不備です。開発元StylemixThemesが提供する password-recovery.php テンプレートにおいて、ユーザーのパスワードリセットを行う際、認証用のハッシュ値の検証が不完全な状態でした。

通常、パスワードリセットには本人確認のためのトークンが必要ですが、対象となるコードではハッシュ値が空の場合でも処理が通ってしまう上、無効なUTF-8文字列を含めることでバリデーションをすり抜ける手法が確認されています。この結果、攻撃者が任意のユーザー(管理者含む)のパスワードを変更可能となり、完全なアカウント乗っ取りへとつながります。

対象バージョン(脆弱性の影響を受けるバージョン)

  • Motors WordPressテーマ バージョン 5.6.67 以下

このバージョンまでのすべてのリリースにおいて、認証を必要とせず任意のユーザー(管理者含む)のパスワードを変更できる特権昇格(Privilege Escalation)の脆弱性が存在します。

対策済みバージョン

  • Motors バージョン 5.6.68

このバージョンにおいて、パスワード変更時のユーザー認証およびハッシュ検証処理が強化され、脆弱性は修正されています。

影響とリスク

この脆弱性を悪用することで、攻撃者は以下のような行為が可能になります:

  • 管理者アカウントの奪取

  • 不正なプラグイン・テーマのアップロード

  • サイトの改ざん(リダイレクト、スパム挿入、バックドア設置)

  • ユーザー情報の窃取やマルウェア配布

Wordfenceは「完全なサイト乗っ取りが可能になるクリティカルな脆弱性」として、CVSSスコア**9.8(Critical)**を与えています。

発見から修正までの対応

Motorsテーマの脆弱性(CVE-2025-4322)は、2025年5月2日、セキュリティ研究者のFoxyyy氏によりWordfenceのバグバウンティプログラムを通じて報告されました。この報告は、再現性が高く明確なものであったことから、研究者には報奨金1,073ドルが支払われました。

報告を受けたWordfenceは、同日中に脆弱性の内容を検証し、悪用可能な証拠コード(PoC)を確認。5月5日にはテーマの開発元であるStylemixThemesに連絡を取り、正式な報告先の確認を行いました。その後、5月8日に開発元からの返信を受け、完全な脆弱性情報を開示しました。

開発元は迅速に対応を開始し、わずか6日後の5月14日には脆弱性を修正した最新版(バージョン5.6.68)を公開。この対応により、ユーザーが被害を受ける前に広く保護が行き届く体制が整えられました。

利用者への呼びかけと対策

Motorsテーマを使用しているユーザーは、必ず最新版(5.6.68以降)に更新してください。特にテーマがカスタマイズされている場合や古いバージョンを利用している場合は、テーマ提供元への確認やセキュリティスキャンも推奨されます。

また、以下の対応も重要です:

  • WordPress本体・プラグイン・テーマの定期的な更新

  • セキュリティプラグイン(例:Wordfence)の導入

  • 二要素認証(2FA)の設定

  • 管理者ログイン履歴の監視

このような権限昇格の脆弱性は、サイトの信頼性と利用者の安全に重大な影響を及ぼすため、迅速な対応が求められます。
関係者や同じテーマを利用している開発者・サイト管理者にも本情報を共有し、被害の拡大を未然に防ぎましょう。

関連記事

MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開 Fortinetで重大な脆弱性のセキュリティアップデートを実施 FortiClient、FortiClientLinux、FortiProxyなどFortinetで重大な脆弱性のセキュリティアップデートを実施 FortiClient、FortiClientLinux、FortiProxyなど  Windowsの脆弱性(CVE-2024-30090)がサイバー攻撃に悪用される可能性Windowsの脆弱性(CVE-2024-30090)がサイバー攻撃に悪用される可能性 Ivanti Neurons for ITSM(オンプレミス版)に認証バイパス脆弱性(CVE-2025-22462)-早急なパッチ適用を推奨Ivanti Neurons for ITSM(オンプレミス版)に認証バイパス脆弱性(CVE-2025-22462)-早急なパッチ適用を推奨 Apache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートをApache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートを CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須 macOS「RemoteViewServices」にサンドボックス回避の脆弱性(CVE-2025-31258)-PoCが公開中macOS「RemoteViewServices」にサンドボックス回避の脆弱性(CVE-2025-31258)-PoCが公開中 100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775) 7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411)7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411)