Nyambush
CVSS 9.8Critical

CVE-2025-14998: Brandaのパスワードリセットによるアカウント乗っ取り

概要

  • CVE: CVE-2025-14998
  • プラグイン: Branda – White Label & Branding
  • 影響バージョン: <= 3.4.24
  • 修正バージョン: 3.4.25(3.4.29で修正確認済み)
  • CVSS: 9.8 (Critical)
  • 認証: 不要(未認証)
  • 種別: 権限昇格 / アカウント乗っ取り(パスワードリセットのバイパス)

2025年12月20日にベンダーへ報告され、2026年1月1日に公開されたこの脆弱性は、BrandaプラグインのパスワードリセットAPIに対して本人確認がまったく行われていないことに起因します。攻撃者は認証なしに任意のアカウント(管理者を含む)のパスワードを書き換えることができます。

何が起きたか

Branda(旧称 Ultimate Branding)は、WordPressのホワイトラベルカスタマイズを可能にするプラグインです。管理画面のロゴやカラー、ログインページのデザイン変更などの機能を提供するため、エージェンシーや再販ビジネスで広く使われています。

このプラグインは独自のパスワードリセット処理を実装していましたが、3.4.24以前のバージョンでは、パスワードを更新する前にリクエスト送信者が本当にそのアカウントの正当な所有者であるかを検証していませんでした。

具体的な問題点:

  • パスワードリセット処理を担うエンドポイントが、ユーザーのトークンや所有権を適切に検証していなかった
  • リクエストに対象ユーザーのIDやメールアドレスを指定するだけで、新しいパスワードへの上書きが可能だった
  • 一連の処理が認証なし(unauthenticated)で実行できるため、セッションを持たない外部の攻撃者でも悪用可能だった

攻撃の仕組み

攻撃シナリオは非常にシンプルです。

  1. 管理者アカウントの特定: WordPressはデフォルトで /?author=1 などの著者アーカイブURLからユーザー名を露出します。また wp-json/wp/v2/users REST APIが有効な場合も同様です。

  2. パスワードリセットリクエストの送信: 攻撃者は、Brandaのパスワードリセット用エンドポイントに対して、対象ユーザーIDと任意の新しいパスワードを含むリクエストを送信します。通常のパスワードリセットフローで必要なメールリンクのクリックやトークン検証をスキップして処理が完了します。

  3. ログインと完全な乗っ取り: 設定した新しいパスワードで管理者としてログインします。これ以降、攻撃者はサイトの完全な制御権を持ちます:

    • バックドア付きプラグインのインストール
    • 他のユーザーアカウントの変更
    • コンテンツの改ざん
    • データベース・サーバーへのアクセス(PHP実行環境経由)

攻撃全体は自動化が容易であり、スクリプト一本で複数サイトを横断的にスキャン・攻撃することが可能です。

実際の被害

CVSS 9.8(Critical)というスコアが示すとおり、この脆弱性の影響は深刻です。

  • 認証が不要なため、攻撃の障壁がほぼゼロです
  • 管理者を含む全ユーザーが対象であり、サイトを完全に乗っ取られる可能性があります
  • WordPressのアカウント乗っ取りは、そのサーバーで動作する他のアプリケーションやデータにも被害が波及することがあります
  • ホスティング環境によっては、同一サーバー上の他のWordPressサイトへの横移動(ラテラルムーブメント)も起こりえます
  • 攻撃の痕跡が残りにくく、侵害後の検知が遅れる可能性があります

エージェンシーが管理する多数のクライアントサイトにBrandaが導入されているケースでは、1件のベンダー環境が侵害された場合に管理下の全サイトが連鎖的に被害を受けるリスクもあります。

修正と教訓

修正: バージョン3.4.25でパスワードリセット処理に適切な本人確認が追加されました。3.4.29での修正も確認されています。Brandaを使用しているすべてのサイトは直ちに最新バージョンへ更新してください。

教訓:

  1. 本人確認の必須化: パスワードリセット処理には必ずメールトークン検証やセキュアなワンタイムトークンを使用すること
  2. 独自認証処理の危険性: WordPress標準のパスワードリセット機能を迂回する独自実装は、見落としリスクが高い
  3. 最小権限とナンス検証: WordPress Nonceやcapability checkをすべての状態変更処理に適用すること
  4. ベンダー通知から公開までの期間: 通知(2025年12月20日)から公開(2026年1月1日)まで約2週間。この間にパッチが適用されていないサイトは無防備だった
  5. プラグイン管理の継続: インストールしたプラグインのバージョンを継続的に監視し、脆弱性情報が出た際に迅速に対応できる体制が重要

Nyambushでの検出

NyambushはWordPressプラグインのバージョン情報を検出し、CVE-2025-14998を含む既知の脆弱性が存在するプラグインを使用しているサイトに対して警告を発します。

Branda 3.4.24以前が検出された場合、Nyambushのスキャン結果にCritical(深刻)として表示されます。定期スキャンを設定しておくことで、新たな脆弱性が公開された時点で迅速に通知を受け取ることができます。認証不要の権限昇格は最優先で対処すべき脆弱性カテゴリです。

この記事をシェア:Xでポスト

あなたのドメインは安全ですか?

Nyambushで今すぐ無料スキャンして、セキュリティリスクをチェックしましょう。

記事一覧に戻る