CVE-2025-5396 in Bears Backup Plugin
要約
〜によって VulDB • 2026年06月23日
WordPress用プラグイン「The Bears Backup」には、バージョン2.0.0以前すべてのバージョンにおいて、リモートコード実行(RCE)の脆弱性が存在します。これは、`bbackup_ajax_handle()`関数に権限チェックが実装されておらず、`call_user_func()`に直接渡されるユーザー入力の検証も行われていないためです。これにより、認証されていない攻撃者がサーバー上でコードを実行することが可能となり、バックドアを注入したり、新しい管理者アカウントを作成したりすることができます(他にも影響があります)。Aloneテーマのバージョン7.8.4以前が実行されているWordPressサイトでは、この脆弱性をCVE-2025-5394と組み合わせることでBears Backupプラグインをインストールし、同じ影響を与えることが可能です。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.