2025年10月、WordPress用プラグイン「Spirit Framework」に、CVSS 9.8(致命的)の認証バイパス脆弱性 CVE-2025-6388 が見つかりました。1.2.14までの全バージョンが影響を受け、攻撃者はユーザー名さえ分かればパスワードなしでログインでき、管理者権限の奪取や改ざんに繋がります。開発元は1.2.15で修正済みです。
対策
プラグインを1.2.15以降へ更新
悪用状況
セキュリティベンダーの観測では、公開直後から攻撃が始まっており、直近24時間だけでも複数の攻撃ブロックが報告されています。放置するとアカウント乗っ取り、バックドア設置、改ざん、情報窃取に直結します。
技術的なポイント
問題はプラグイン内部の custom_actions() が「本人確認を適切に行わないまま認証を成立させてしまう」実装にあります。結果として、攻撃者は任意の既存ユーザー(例:管理者)のユーザー名を指定するだけでセッションを得ることが可能になります。標準的なログイン検証を素通りするため、WAFやブルートフォース対策だけでは止め切れません。
の報奨-200x200.png)

が修正-200x200.png)





