セキュリティセキュリティ
2025年8月 セキュリティ情報 WordPress プラグイン「WP Webhooks 」の脆弱性 [CVE-2025-8895]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指しつつ「蕎麦1kg盛り」をたまに食べたりする三浦です。
#8月は「新潟県」「東京都」「山口県」「福岡県」を飛び回っておりました。
2025年8月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(WordPress プラグイン「WP Webhooks 」の脆弱性 [CVE-2025-8895])
情報公開日:2025/8/23(現地時間)
| 一次情報元(引用元) |
"Wordfence"WP Webhooks <= 3.3.5 - Unauthenticated Arbitrary File Copy |
| その他、情報ソース |
"NVD" CVE-2025-8895 Detail |
| CVE番号及び深刻度 |
CVE 番号:CVE-2025-8895 深刻度:Critical (9.8) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H [CVSS 情報はWordfence のものとなります] |
| 脆弱性内容 |
WordPress セキュリティに特化した企業 Defiant Inc.は現地時間2025年8月20日、 WordPress のWebhook プラグイン「WP Webhooks」にサーバ上にある任意ファイルを任意の場所にコピーすることが可能な脆弱性があることをWordfence にて公表。 悪用された場合、窃取された各種情報が悪用され様々な影響が発生する恐れがあるため、早急に対応することを強く推奨する。 |
| 想定される影響 | 設定ファイルから認証情報が窃取され、データベースへの不正アクセスや情報改ざん、データ破壊によるサービス停止等、様々な影響が引き起こされる可能性があります。 |
| 影響を受ける製品 | WP Webhooks 3.3.6より前のバージョン |
| 解決策 | WP Webhooks のバージョン 3.3.6 にアップデートを行う。 |
| コメント |
●WordPress の設定ファイルが閲覧可能な場所にコピーされ、閲覧可能となった場合 CMS で使用しているデータベースへの認証情報が窃取される可能性があります。 ●Webhook は昨今、保守運用にてSlackやTeams等のコミニケーションツール等への通知等で 利用される事が多いため、当該プラグインを利用しているか早急に確認し、 即時対応することをお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2025年7月下旬の脆弱性/ソフトウェアUpdate情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2025/7/31 | PHPの複数バージョン | PHPの複数バージョン「8.3.24」「8.4.11」をリリース。
"ChangeLog - Version 8.3.24" https://www.php.net/ChangeLog-8.php#8.3.24 "ChangeLog - Version 8.4.11" https://www.php.net/ChangeLog-8.php#8.4.11 |
| 2025/8/1 | Squid | squid-cache.org は、ウェブプロキシキャッシュサーバ「Squid」にリモートよりコードを実行されるおそれがある脆弱性「CVE-2025-54574」の修正版をリリース。
"SQUID-2025:1 Buffer Overflow in URN Handling" https://github.com/squid-cache/squid/security/advisories/GHSA-w4gv-vw3f-29g3 |
| 2025/8/5 | Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, August 5, 2025)" https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop.html "Extended Stable Updates for Desktop (Tuesday, August 5, 2025)" https://chromereleases.googleblog.com/2025/08/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, August 5, 2025)" https://chromereleases.googleblog.com/2025/08/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, August 5, 2025)" https://chromereleases.googleblog.com/2025/08/chrome-stable-for-ios-update.html |
| 2025/8/7 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (August 7, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#august-7-2025 |
| 2025/8/12 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/8/12 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。第三者から情報開示された脆弱性1件も修正されている。
"2025 年 8 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Aug "2025 年 8 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2025/08/202508-security-update/ 第三者から情報開示された脆弱性 "Windows Kerberos の特権の昇格の脆弱性 - CVE-2025-53779" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53779 |
| 2025/8/12 | Zoomビデオコミュニケーションズ 複数製品 | Zoomビデオコミュニケーションズ社は、同社複数製品のセキュリティUpdateを公開。深刻度「Critical」の脆弱性も修正されている。
"Security Bulletins(公開日8/12 箇所を参照)" https://www.zoom.com/en/trust/security-bulletin/ |
| 2025/8/12 | Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, August 12, 2025)" https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_12.html "Extended Stable Updates for Desktop (Tuesday, August 12, 2025)" https://chromereleases.googleblog.com/2025/08/extended-stable-updates-for-desktop_12.html "Chrome for Android Update (Tuesday, August 12, 2025)" https://chromereleases.googleblog.com/2025/08/chrome-for-android-update_083229377.html |
| 2025/8/13 | ImageMagick | ImageMagick Studio LLC は深刻度「High」以上の脆弱性2件を公開。
"[BIGSLEEP-436829309] imagemagick: heap-buffer overflow read in MNG magnification with alpha" https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-cjc8-g9w8-chfw "[BIGSLEEP-435153105] imagemagick: integer overflows in MNG magnification" https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-qp29-wxp5-wh82 |
| 2025/8/15 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (August 15, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#august-15-2025 |
| 2025/8/19 | Mozilla Thunderbird /Focus for iOS /Firefox /Firefox ESR /Firefox for iOS | Mozilla 社はThunderbird /Focus for iOS /Firefox /Firefox ESR /Firefox for iOS のセキュリティアップデートを公開。
"Mozilla Foundation Security Advisory 2025-71 Security Vulnerabilities fixed in Thunderbird 128.14" https://www.mozilla.org/en-US/security/advisories/mfsa2025-71/ "Mozilla Foundation Security Advisory 2025-72 Security Vulnerabilities fixed in Thunderbird 140.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-72/ "Mozilla Foundation Security Advisory 2025-70 Security Vulnerabilities fixed in Thunderbird 142" https://www.mozilla.org/en-US/security/advisories/mfsa2025-70/ "Mozilla Foundation Security Advisory 2025-69 Security Vulnerabilities fixed in Focus for iOS 142" https://www.mozilla.org/en-US/security/advisories/mfsa2025-69/ "Mozilla Foundation Security Advisory 2025-64 Security Vulnerabilities fixed in Firefox 142" https://www.mozilla.org/en-US/security/advisories/mfsa2025-64/ "Mozilla Foundation Security Advisory 2025-67 Security Vulnerabilities fixed in Firefox ESR 140.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-67/ "Mozilla Foundation Security Advisory 2025-66 Security Vulnerabilities fixed in Firefox ESR 128.14" https://www.mozilla.org/en-US/security/advisories/mfsa2025-66/ "Mozilla Foundation Security Advisory 2025-65 Security Vulnerabilities fixed in Firefox ESR 115.27" https://www.mozilla.org/en-US/security/advisories/mfsa2025-65/ "Mozilla Foundation Security Advisory 2025-68 Security Vulnerabilities fixed in Firefox for iOS 142" https://www.mozilla.org/en-US/security/advisories/mfsa2025-68/ |
| 2025/8/19 | Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, August 19, 2025)" https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_19.html "Extended Stable Updates for Desktop (Tuesday, August 19, 2025)" https://chromereleases.googleblog.com/2025/08/extended-stable-updates-for-desktop_19.html "Chrome for Android Update (Tuesday, August 19, 2025)" https://chromereleases.googleblog.com/2025/08/chrome-for-android-update_01416888669.html |
| 2025/8/20 | Cisco IOSおよびIOS XE | シスコシステムズ合同会社は、2018年に公表したCisco IOSおよびIOS XE ソフトウェアのSmart Installにおけるリモートコード実行の脆弱性が現在もサイバー攻撃で悪用されていることを公開。
"Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 |
| 2025/8/20 | Movable Type | シックス・アパート株式会社は同社製品であるMovable Type に存在する複数の脆弱性を修正。
"[重要] Movable Type 8.7.0 / 8.4.3 / 8.0.7 / 7 r.5509、Movable Type Premium 2.10 / 1.67 の提供を開始(セキュリティアップデート)" https://www.sixapart.jp/movabletype/news/2025/08/20-1100.html |
| 2025/8/20 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。悪用された可能性が高い脆弱性「CVE-2025-43300」の修正も行われている。
"About the security content of macOS Ventura 13.7.8" https://support.apple.com/en-il/124929 "About the security content of macOS Sonoma 14.7.8" https://support.apple.com/en-il/124928 "About the security content of macOS Sequoia 15.6.1" https://support.apple.com/en-il/124927 "About the security content of iPadOS 17.7.10" https://support.apple.com/en-il/124926 "About the security content of iOS 18.6.2 and iPadOS 18.6.2" https://support.apple.com/en-il/124925 |
| 2025/8/21 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (August 21, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#august-21-2025 |
| 2025/8/26 | Citrix 社 NetScaler ADC 及びNetScaler Gateway | Citrix 社 は、同社製品NetScaler ADC 及びNetScaler Gateway の複数脆弱性を修正。悪用が確認された脆弱性「CVE-2025-777」の修正も行われている。
"NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424" https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938 |
| 2025/8/26 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, August 26, 2025)" https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_26.html "Chrome for Android Update (Tuesday, August 26, 2025)" https://chromereleases.googleblog.com/2025/08/chrome-for-android-update_26.html |
| 2025/8/28 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (August 28, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#august-28-2025 |
| 2025/8/28 | PHPの複数バージョン | PHPの複数バージョン「8.3.25」「8.4.12」をリリース。
"ChangeLog - Version 8.3.25" https://www.php.net/ChangeLog-8.php#8.3.25 "ChangeLog - Version 8.4.12" https://www.php.net/ChangeLog-8.php#8.4.12 |
注目したインシデント
2025年7月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/7/30 | 情報・通信業 | DDoS 攻撃によるアクセス不調 | 攻撃影響により同社が提供しているメールサービスのコントロールパネルにアクセスできない、アクセスしづらい状況が発生。 |
| 2025/8/1 | 求人・人材 | 元従業員による社内資料持ち出し | 同社従業員の個人情報を含む社内資料を在職中に社外に持ち出していたとのこと。 |
| 2025/8/1 | 自動車 | システム設定不備による個人情報漏えいの可能性 | システムメンテナンス作業中の設定不備により、顧客データ約15,000件が外部から閲覧可能になった。 |
| 2025/8/1 | 運送・配送 | 会員サービスへの不正アクセス | 第三者が不正に入手したIDとパスワードを使ったと思われる不審なアクセスを確認したとのこと。 |
| 2025/8/5 | 総合食品卸売業 (商社) | ランサムウェア攻撃による情報漏えい | 上記攻撃により、同社や関係会社で利用する重要なシステムが使用できない状態となり、業務やサービスに支障が出ているとのこと。 |
| 2025/8/5 | 病院 | 情報の不適切な取扱いによる個人情報漏えい | 看護師が電子カルテのディスプレイを個人のスマートフォンで撮影し、その画像を知人との個人間のやり取りにおいてLINEで送信していた。 |
| 2025/8/5 | 印刷業/Webサービス業 | 不正アクセス | 攻撃の手法としては、フォーム入力欄に対しOSコマンドを含む内容が投稿されるものでだったが、不正なコマンド実行は遮断されているとのこと。 |
| 2025/8/6 | 大学 | 委託先サイバー攻撃被害による個人情報漏えいの可能性 | 委託先企業の社内ネットワークへの不正アクセスにより、同大学の学生および教職員の個人情報の一部が外部に漏洩した可能性があることが判明。 |
| 2025/8/8 | 中古品販売業 | ECサイトへの不正アクセスによる機密情報漏えい | 決済システムが改ざんされ、購入時に入力されたクレジットカード情報をユーザーに気付かれないまま盗み出し、不正利用された可能性があるとのこと。 |
| 2025/8/8 | 自動車 | モバイルデバイス管理サーバへの不正アクセスによる個人情報漏えい | モバイルデバイス管理サーバにあった脆弱性が悪用され、不正アクセスされたとのこと。 |
| 2025/8/8 | 社団法人 | 不正アクセスによるアクセス障害及び個人情報漏えいの可能性 | 何者かがなりすましで管理画面へ不正アクセスし、不正なプラグインを導入した上で、レンタルサーバー上のデータを改変していたとのこと。 |
| 2025/8/8 | 運送・配送 | システム不備による個人情報漏えいの可能性 | 貨物の追跡や再配達依頼の際に、「第三者が任意の問い合わせ番号を入力する」と、当該番号に紐づく受取人情報が表示される状態になっていた。 |
| 2025/8/11 | 自然保護団体 | 関係者への不審メール送付 | 同団体会員など関係者宛に、「同団体の破産手続きを開始した」という旨のメールが送られているとのこと。 |
| 2025/8/12 | 証券 | 誤送信によるメールアドレス情報漏えい | メール送信時、BCC で送信するところをTO で送信してしまったとのこと。 |
| 2025/8/12 | 印刷業 | 誤送信によるメールアドレス情報漏えい | メール送信時、BCC で送信するところをCC にて送信してしまったとのこと。 |
| 2025/8/15 | その他公共サービス業 | 誤送信によるメールアドレス情報漏えい | 「送信先を選択する際、特定事業所を選択すべきところ、全ての事業所を選択してしまった」とコメントしている。 |
| 2025/8/20 | サービス業 | パスワードリスト攻撃による一部個人情報漏えいの可能性 | クレジットカード情報漏えいは情報保持をしていないため、漏えいは無いとコメントしている。 |
| 2025/8/22 | 大学 | 教員アカウント利用した不正アクセス | 公表時点で認証サーバーへの攻撃が成功した記録や管理者権限の奪取、ランサムウェア被害は確認されていないとのこと。 |
| 2025/8/25 | 情報・通信業 | DDoS 攻撃 | 同社はDDoS攻撃の影響を回避するために、一部環境からのアクセスフィルタリングを実施したとのこと。 |
