Nyambush
CVSS 9.8Critical

CVE-2025-4322: Motorsテーマのパスワードリセット権限昇格

概要

  • CVE: CVE-2025-4322
  • 影響バージョン: Motors テーマ <= 5.6.67
  • CVSS: 9.8 (Critical)
  • 認証: 不要(未認証の攻撃者が実行可能)
  • 種別: パスワードリセットによる権限昇格・アカウント乗っ取り

Motorsは自動車ディーラー、レンタカープラットフォーム、車両の分類広告サイト向けに広く使われているWordPressテーマです。約2.2万の有効インストール数を持つこのテーマに、パスワードリセット時の本人確認が行われないという重大な脆弱性が発見されました。未認証の攻撃者が管理者を含む任意のアカウントを乗っ取ることができます。

何が起きたか

MotorsテーマはWordPressの標準パスワードリセット機能とは別に、テーマ独自のパスワードリセット機能を実装していました。この独自実装において、パスワードを変更する前にリクエストが正当なユーザーから来ているかどうかを確認する処理が欠如していました。

つまり、攻撃者はリセットトークンや本人確認コードを持たないまま、任意のユーザーIDを指定してパスワードを書き換えることが可能でした。WordPressの管理者は一般的に user_id=1 または低いIDを持つため、攻撃者はIDを推測するだけで標的のアカウントを特定できます。

同テーマには別の脆弱性(CVE-2025-64374)も存在し、バージョン <= 5.6.81 において、Subscriber権限を持つユーザーが不適切に保護されたnonceを悪用して悪意のあるプラグインをインストールできる任意ファイルアップロードの問題も確認されています。

攻撃の仕組み

  1. 対象サイトの特定: Motorsテーマを使用しているWordPressサイトを特定する。バージョン情報が公開されている場合、脆弱なバージョン(5.6.67以下)かどうかを確認できる。

  2. ユーザーIDの推測: WordPressの管理者アカウントは通常 user_id=1 から始まる。管理者のユーザー名が公開されている場合(著者アーカイブページなど)、IDの特定がさらに容易になる。

  3. 認証なしのパスワードリセット: Motorsテーマの脆弱なエンドポイントに対し、ターゲットのユーザーIDと新しいパスワードを含むリクエストを送信する。本人確認が行われないため、リセットトークンや認証情報は一切不要。

  4. 管理者としてログイン: 書き換えた新しいパスワードを使用して管理者アカウントにログインし、サイトの完全な制御を取得する。

  5. 持続的なアクセスの確立: 管理者権限を取得後、バックドアプラグインのインストール、別の管理者アカウントの作成、テーマファイルの書き換えなどで持続的なアクセスを確立する。

この攻撃は完全に自動化可能であり、スクリプト1つで多数のサイトを一括して標的にすることができます。自動車業界向けサイトは顧客の個人情報や決済情報を扱うことが多く、侵害の影響は特に深刻です。

実際の被害

  • 2.2万サイトが対象となる有効インストール数
  • 管理者を含むすべてのユーザーアカウントが乗っ取り対象
  • 攻撃に認証は一切不要 — サイトへのアクセス権を持たない外部攻撃者が実行可能
  • 自動車販売・レンタルサイトは顧客の氏名、住所、電話番号、場合によってはクレジットカード情報を扱っており、個人情報漏洩の被害が生じるリスクが高い
  • 所有者が気づかない間にサイトが改ざんされ、訪問者へのマルウェア配布に悪用される可能性がある
  • CVE-2025-64374(任意ファイルアップロード)と組み合わせることで、サーバー全体のフルコントロールまで到達できる攻撃チェーンが成立する

修正と教訓

修正: バージョン 5.6.68 で修正されました。パスワードリセット処理にユーザー本人確認の検証が追加されています。Motorsテーマを使用しているすべてのサイトは、直ちに 5.6.68 以上へアップデートすることが必要です。

教訓:

  1. 本人確認は必須: パスワードリセット機能は、リクエストが正当なユーザーから来ていることを確認するトークン検証や本人確認コードが不可欠。WordPressの標準APIを使わず独自実装する場合は特に注意が必要。

  2. テーマもプラグインと同様に脆弱: セキュリティリスクはプラグインだけでなく、テーマにも存在する。テーマの更新も定期的に行う必要がある。

  3. CVSS 9.8は即時対応が必要: Critical評価の脆弱性には、発見後できる限り早くパッチを適用することが原則。修正バージョンが公開されている場合、適用しない理由はない。

  4. 独自認証実装のリスク: WordPressが提供する標準の認証・パスワードリセット機能を迂回した独自実装は、見落としやすい脆弱性を生みやすい。可能な限り標準APIを活用すること。

  5. 業界固有テーマの注意点: 特定業種向けのニッチなテーマは、汎用テーマに比べてセキュリティレビューが十分でない場合がある。導入前の脆弱性調査と定期的な更新確認が重要。

Nyambushでの検出

NyambushはWordPressサイトのテーマバージョンを検出し、Motorsテーマのバージョンが 5.6.67 以下の場合に Critical 警告を表示します。CVSS 9.8 の脆弱性であり、悪用が容易なため最優先でのアップデートを推奨します。

定期スキャンを設定することで、テーマやプラグインの更新遅れを継続的に監視できます。自動車業界向けサイトのような個人情報を扱うサービスでは、月次スキャンではなく週次または継続監視の設定を推奨します。

この記事をシェア:Xでポスト

あなたのドメインは安全ですか?

Nyambushで今すぐ無料スキャンして、セキュリティリスクをチェックしましょう。

記事一覧に戻る