セキュリティ強化のつもりが逆効果 人気WordPressプラグインに深刻な脆弱性：セキュリティニュースアラート

WordPressの「Malcure Malware Scanner」プラグインに任意のファイルを削除する脆弱性が見つかった。認証済みの低権限ユーザーでもファイル削除が可能となり、リモートコード実行などのリスクがある。現時点で修正パッチは提供されていない。

[後藤大地，有限会社オングス]

　Wordfenceの脅威インテリジェンスチームは2025年7月15日（現地時間）、「WordPress」の「Malcure Malware Scanner」プラグインに深刻な脆弱（ぜいじゃく）性があることを伝えた。脆弱性は「CVE-2025-6043」として脆弱性情報データベースに登録されており、任意のファイル削除の脆弱性を悪用される可能性がある。

　Malcure Malware Scannerはマルウェアの検出や削除を目的としたWordPressのセキュリティツールで、1万件以上のWordPressで作られたWebサイトにインストールされている。Webサイトの安全性を高めるために導入されるツールでありながら、プラグイン自体に深刻な脆弱性が見つかったことでかえってユーザーにとって新たなセキュリティリスクが生じている。

セキュリティ強化のつもりが逆効果　人気プラグインに深刻な脆弱性

　報告された脆弱性は次の通りだ。

• CVE-2025-6043：　「wpmr_delete_file」関数の権限チェックが不十分なため、任意のファイル削除の脆弱性を悪用される可能性がある。「Subscriber」レベル以上のアクセス権を持つ認証済みの攻撃者が任意のファイルを削除してリモートコードを実行できる。Webサイトで詳細モードが有効になっている場合にのみ悪用可能とされている。共通脆弱性評価システム（CVSS）v3.1のスコアは8.1で深刻度「重要」（High）と評価されており注意が必要だ

　同脆弱性の原因は「wpmr_delete_file」関数の適切な権限チェックが欠如している点にある。Webサイトで「詳細モード（advanced mode）」が有効化されている場合に限り、認証済みユーザーであれば、低い権限レベルの「Subscriber」権限であっても任意のファイルを削除できてしまう。この動作は本来想定されておらず、悪用されることでWordPressサイトの重要なシステムファイルや設定ファイルが削除され、結果として任意のコードの実行など、さらなる被害につながる恐れがある。

　影響を受けるのはMalcure Malware Scannerのversion 16.8およびこれ以前のバージョンだ。

　2025年7月16日時点で、Malcure Malware Scannerへの修正パッチは提供されていない。Wordfenceはこの脆弱性の悪用リスクを軽減するため、各組織のリスク許容度に応じた対策を講じるよう推奨している。現時点で確実な対策としては、該当プラグインのアンインストールや代替ツールへの切り替えが挙げられている。

　該当プラグインを使用している場合、速やかにプラグインの削除を実施し、サーバログなどを確認して不正アクセスや悪用の痕跡がないかどうかを調査することが望まれる。