WordPressのプラグイン「Spirit Framework」に致命的脆弱性 CVE-2025-6388-すでに悪用確認、至急アップデートを

セキュリティニュース

投稿日時: 更新日時:

WordPressのプラグイン「Spirit Framework」に致命的脆弱性 CVE-2025-6388-すでに悪用確認、至急アップデートを

2025年10月、WordPress用プラグイン「Spirit Framework」に、CVSS 9.8(致命的)の認証バイパス脆弱性 CVE-2025-6388 が見つかりました。1.2.14までの全バージョンが影響を受け、攻撃者はユーザー名さえ分かればパスワードなしでログインでき、管理者権限の奪取や改ざんに繋がります。開発元は1.2.15で修正済みです。

対策

プラグインを1.2.15以降へ更新

悪用状況

セキュリティベンダーの観測では、公開直後から攻撃が始まっており、直近24時間だけでも複数の攻撃ブロックが報告されています。放置するとアカウント乗っ取り、バックドア設置、改ざん、情報窃取に直結します。

技術的なポイント

問題はプラグイン内部の custom_actions() が「本人確認を適切に行わないまま認証を成立させてしまう」実装にあります。結果として、攻撃者は任意の既存ユーザー(例:管理者)のユーザー名を指定するだけでセッションを得ることが可能になります。標準的なログイン検証を素通りするため、WAFやブルートフォース対策だけでは止め切れません。