WordPressのSocial Warfareプラグインは、バージョン3.5.2以前（および同等）において、'swp_url'パラメータを介してリモートコード実行 (Remote Code Execution) の脆弱性を抱えています。これにより、攻撃者はサーバー上でコードを実行できます。

このRCE脆弱性は、攻撃者にとって非常に危険です。攻撃者は、ウェブサイトの'swp_url'パラメータを悪用することで、サーバー上で任意のコマンドを実行できます。これにより、機密情報の窃取、ウェブサイトの改ざん、マルウェアのインストール、さらにはサーバー全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、ウェブサイトを悪意のあるコンテンツの配信拠点として利用したり、他のシステムへの攻撃の足がかりとして利用したりすることも考えられます。この脆弱性は、ウェブサイトのセキュリティを根底から揺るがす重大な脅威です。

Websites using the Social Warfare plugin, particularly those running older versions (≤3.5.3), are at significant risk. Shared hosting environments are especially vulnerable, as a compromise of one website can potentially impact others on the same server. Sites with limited security monitoring or outdated WordPress installations are also at higher risk.

• wordpress / composer / npm:

wp plugin list | grep Social Warfare

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

grep 'swp_url' /var/www/wordpress/wp-content/plugins/social-warfare/includes/shortcodes.php

1. 2024-01-17Disclosure

   disclosure

1. 予約済み2024-01-16
2. 公開日2024-01-17
3. 更新日2024-10-21
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Social Warfareプラグインをバージョン3.5.3にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、'swp_url'パラメータの入力を厳密に検証するカスタムコードを実装するか、WAF（Web Application Firewall）を使用して悪意のあるリクエストをブロックすることを検討してください。また、WordPressのセキュリティプラグインを導入し、ファイル整合性チェックや不正なファイル変更の検出を強化することも有効です。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。

アクティブインストール数

20K既知

プラグイン評価

3.3

WordPressが必要

4.5.0+

動作確認済みバージョン

6.7.5

PHPが必要

5.6+