HIGHCVE-2024-10803CVSS 7.5

MP3 Sticky Player <= 8.0 - 認証されていない任意のファイル読み取り/ダウンロード

Q: CVE-2024-10803 — ディレクトリトラバーサルはMP3 Sticky Playerで何ですか？

CVE-2024-10803は、WordPressのMP3 Sticky Playerプラグインのバージョン8.0以下で、認証されていない攻撃者が任意のファイルを読み取ることができるディレクトリトラバーサル脆弱性です。

Q: CVE-2024-10803でMP3 Sticky Playerを使用していますか？

MP3 Sticky Playerプラグインのバージョン8.0以下を使用している場合は、影響を受けます。バージョン8.0へのアップデートが必要です。

Q: CVE-2024-10803でMP3 Sticky Playerを修正するにはどうすればよいですか？

MP3 Sticky Playerプラグインをバージョン8.0にアップデートしてください。アップデートが難しい場合は、WAFルールやファイルアクセス権限の設定でリスクを軽減できます。

Q: CVE-2024-10803は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、ディレクトリトラバーサル脆弱性は比較的容易に悪用される可能性があるため、注意が必要です。

Q: CVE-2024-10803のMP3 Sticky Playerの公式アドバイザリはどこで入手できますか？

MP3 Sticky Playerの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

mp3-sticky-player

修正版

8.0.1

AI Confidence: highNVDEPSS 3.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-10803は、WordPressプラグインMP3 Sticky Playerにおけるディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることができ、機密情報が漏洩する可能性があります。影響を受けるバージョンは8.0以下です。ベンダーは、脆弱性を修正したバージョンとして8.0をリリースしています。

影響と攻撃シナリオ

この脆弱性は、認証されていない攻撃者がMP3 Sticky Playerプラグインのcontent/downloader.phpファイルを通じて、サーバー上の任意のファイルパスを指定し、その内容を読み取ることができるものです。攻撃者は、Webサーバーの構成ファイル、データベースのバックアップ、または他の機密情報を含むファイルを読み取る可能性があります。攻撃者は、この脆弱性を利用して、サーバーの他の部分へのアクセスを試みたり、機密情報を盗み出したりする可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は、2024年11月23日に公開されました。現時点では、公的なPoCは確認されていませんが、ディレクトリトラバーサル脆弱性は比較的容易に悪用される可能性があるため、注意が必要です。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the MP3 Sticky Player plugin, particularly those running versions prior to 8.0, are at risk. Shared hosting environments are especially vulnerable as they often have limited control over plugin updates and server configurations. Sites that store sensitive data on the same server as the WordPress installation face a heightened risk of data exposure.

検出手順翻訳中…

• wordpress / composer / npm:

wp plugin list | grep 'MP3 Sticky Player'

• wordpress / composer / npm:

wp plugin update MP3 Sticky Player --version=8.0

• generic web:

curl -I http://your-wordpress-site.com/wp-content/downloader.php?file=../../../../etc/passwd

• generic web: Check access logs for requests containing ../ sequences targeting downloader.php.

攻撃タイムライン

2024-11-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

3.05% (87% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmp3-sticky-player

ベンダーFWDesign

影響範囲修正版

* – 8.08.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-11-04
公開日2024-11-23
更新日2024-11-26
EPSS 更新日2026-04-02

未パッチ — 公開から547日経過

緩和策と回避策

この脆弱性への対応策として、MP3 Sticky Playerプラグインをバージョン8.0にアップデートすることを推奨します。アップデートが困難な場合は、プラグインのcontent/downloader.phpファイルへのアクセスを制限するWAFルールや、ファイルアクセス権限を適切に設定することで、攻撃のリスクを軽減できます。また、WordPressのセキュリティプラグインを使用して、不正なファイルアクセスを監視することも有効です。アップデート後、プラグインの動作を確認し、ファイルアクセス権限が適切に設定されていることを確認してください。

修正方法翻訳中…

Actualice el plugin MP3 Sticky Player a la última versión disponible. Si no hay una versión más reciente disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información sobre la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-10803 — ディレクトリトラバーサルはMP3 Sticky Playerで何ですか？