WP Ultimate CSV Importer の脆弱性まとめ（CVE-2025-10057 / CVE-2025-10040 / CVE-2025-2007 / CVE-2025-2008）

※対象：WP Import – Ultimate CSV XML Importer for WordPress（主にバージョン 7.19〜7.28 の範囲に影響）

WP Ultimate CSV Importer は CSV／XML を使って大量データを取り込むための便利なプラグインですが、近時いくつかの高リスクな脆弱性が公表されました。

本記事では「どのような脆弱性があったのか」「実際に何が危ないのか」「なぜ起きたのか」「現場でどのように対処すればよいか」を、落ち着いた口調で分かりやすく解説します。

主要な脆弱性には CVE-2025-10057（RCE）や CVE-2025-10040（FTP/SFTP 資格情報露呈）、過去の CVE-2025-2007 / CVE-2025-2008（任意ファイル削除／任意ファイルアップロード）があります。

脆弱性の内容（概要解説）

• CVE-2025-10057（リモートコード実行）: プラグインの一部インポート処理にコード注入が可能な経路があり、バージョン 7.20〜7.28 において、認証済みの Subscriber（購読者）権限以上で悪用できるリモートコード実行（RCE）が報告されました。影響を受けるバージョンは 7.20〜7.28、修正版は 7.29 でリリースされています。(Wordfence)
• CVE-2025-10040（FTP/SFTP 資格情報露呈）: get_ftp_details 等の AJAX アクションに対する権限チェック漏れがあり、7.27 までのバージョンで Subscriber 権限でもプラグインに設定された FTP/SFTP の資格情報が取得できてしまう問題が報告されました。修正版は 7.28 です。(NVD)
• CVE-2025-2007 / CVE-2025-2008（任意ファイル削除／任意ファイルアップロード）: 以前のリリース（主に 7.19 以下）で、ファイルパスの検証不足やアップロード検査不足により任意ファイル削除や任意ファイルアップロードが可能だった旨の報告があり、これらも修正済みです。任意ファイル操作は最終的に RCE に繋がることがあるため注意が必要です。(NVD)

なにが危ないのか（被害イメージ）

リモートコード実行（RCE）が成立すると、攻撃者はサーバー上で任意の PHP コードを実行でき、webシェルの設置、データ改ざん、スパム送信、横展開（資格情報を使ったさらなる侵害）などにつながる可能性があります。これによりサイトの完全な支配を許すリスクがあります。(Wordfence)

FTP/SFTP 資格情報が漏れると、攻撃者は別の経路でファイルを上書きまたは取得でき、被害範囲が急速に拡大します。(NVD)

任意ファイル削除はサービス停止（重要ファイルの消失）につながり、任意ファイルアップロードは RCE の足がかりになり得ます。これらは直接のダウンタイムや復旧コストをもたらします。(NVD)

なぜこのような脆弱性が発生したのか（原因の整理）

• 入力の検証不足：CSV や XML など多様なファイルを受け取る性質上、受け取るデータの検証・サニタイズが緩いと、意図しない内容（悪意あるコード）を処理してしまう恐れがあります。(Wordfence)
• 権限チェックの欠如：AJAX ハンドラや管理用 API に対して適切な capability（権限）チェックが入っていない箇所があり、本来到達できないはずの機能に低権限ユーザーがアクセスできてしまっていました。(NVD)
• 複雑な機能の副作用：多機能・多入力対応のプラグインは、拡張性を担保するための設計が優先されて、個々のエンドポイントの安全性評価が十分でない場合があります。設計時の想定外の操作経路が脆弱性の温床になるケースです。(WPScan)

現場での具体的対処（やるべきこと）

これからの項目は「今すぐ行える実務的なチェックと対応」です。落ち着いて、一つずつ実施してください。

プラグインの更新

まず最優先で WP Ultimate CSV Importer を 7.29 以上に更新してください（7.28 で一部修正、7.29 で RCE の修正が適用されています）。更新が困難であれば一時的にプラグインを無効化／削除してください。(Wordfence)

ログとファイルの点検（侵害がないか）

サイトのアクセスログ／管理ログを確認し、通常と異なる POST リクエストやファイルアップロード、未知の管理画面操作がないかを探します。

wp-content/uploads/ や wp-content/ 直下に見慣れない .php ファイルや ZIP、怪しいファイルがないかを確認します。見つかった場合は隔離・調査を行い、必要ならバックアップからの復旧を検討します。(Wordfence)

資格情報のリセット

万が一を踏まえ、FTP/SFTP、ホスティング、WordPress 管理者アカウントの主要な資格情報は見直し・変更を検討します。

特にプラグインに設定していた外部接続情報がある場合は優先して確認してください。(NVD)

スキャンと防御の強化

Wordfence、WPScan、Patchstack などのセキュリティツールでサイト全体のスキャンを実行し、既知の痕跡（webシェル、改ざん）を探します。

自動化された通知を有効にして今後の脆弱性情報を見逃さない体制にしてください。(Wordfence)

運用上の注意（今後の習慣）

• プラグインは利用目的が明確なものだけに絞り、不要なものは削除する。
• 定期的にプラグインを更新し、更新前後で簡単な動作確認とログチェックを行う。
• 管理権限の発行は最小権限に留める（代理アカウントやテスターに無制限の権限を与えない）。(WPScan)

最後に（安心できる点）

今回の一連の脆弱性は注意を要するものの、WordPress のエコシステムには「脆弱性を発見・報告する仕組み」と「修正を提供するベンダー側のフロー」が確立されています。

セキュリティ研究者やベンダー（Wordfence、WPScan、Patchstack、NVD など）が情報を公表し、プラグイン開発者が修正を公開することで、利用者は「適切にアップデートする」だけで高い確率で安全を取り戻せます。

過度に不安を感じる必要はなく、落ち着いて最新版へ更新し、簡単な点検を行うことで日常的に安全を保てます。(Wordfence)

参照リンク（参考にした公開情報）

• WPScan: WP Import – Ultimate CSV XML Importer の脆弱性一覧（RCE 修正情報ほか）。(WPScan)
• Wordfence: Ultimate CSV XML Importer に関する複数の脆弱性アラート（CVE-2025-10057 等の技術解説）。(Wordfence)
• NVD / CVE-2025-10040（get_ftp_details の権限チェック欠如）。(NVD)
• Patchstack: CVE-2025-10040 等の解説と修正バージョン情報。(Patchstack)
• Rapid7: CVE-2025-10040 の脆弱性要旨。(Rapid7)
• NVD / CVE-2025-2007 / CVE-2025-2008（任意ファイル削除／任意ファイルアップロードの公表情報）。(NVD)