FileOrganizer <= 1.1.4 - 認証済み (管理者以上) ローカル JavaScript ファイルインクルージョン

この脆弱性を悪用されると、攻撃者はFileOrganizerプラグインを通じて任意のJavaScriptコードをサーバー上で実行できます。これにより、アクセス制御のバイパス、機密データの窃取、さらにはサーバー全体のコード実行といった深刻な被害が発生する可能性があります。攻撃者は、画像やその他の安全なファイルタイプをアップロードし、それらを含めることで、この脆弱性を悪用する可能性があります。WordPressサイトのセキュリティが損なわれ、機密情報が漏洩するリスクがあります。

WordPress websites utilizing the FileOrganizer plugin, particularly those with administrator accounts that have weak passwords or are otherwise vulnerable to compromise, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.

• wordpress / composer / npm:

grep -r 'default_lang' /var/www/html/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/

• wordpress / composer / npm:

wp plugin list --status=all | grep fileorganizer

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-content/plugins/fileorganizer-manage-wordpress-and-website-files/ | grep default_lang

1. 2024-12-07Disclosure

   disclosure

1. 予約済み2024-11-08
2. 公開日2024-12-07
3. 更新日2025-01-06
4. EPSS 更新日2026-04-02

FileOrganizerプラグインのバージョンを1.1.5以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、'default_lang'パラメータへの入力を制限するWAFルールや、ファイルアップロード処理の厳格化などの一時的な回避策を検討してください。また、WordPressのセキュリティプラグインを導入し、不正なJavaScriptファイルの実行を監視することも有効です。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。

アクティブインストール数

200Kニッチ

プラグイン評価

4.8

WordPressが必要

5.5+

動作確認済みバージョン

6.9.4

PHPが必要

5.5+