WP Hide & Security Enhancer <= 2.5.1 - 認証されていない攻撃者による任意のファイルコンテンツ削除の認可不足

この脆弱性を悪用されると、攻撃者は認証なしでサーバー上の任意のファイルを削除できます。これにより、Webサイトの構成ファイル、データベースファイル、またはその他の重要なデータが失われる可能性があります。最悪の場合、Webサイト全体が完全に機能しなくなる可能性があります。攻撃者は、削除されたファイルの内容を置き換え、悪意のあるコードを挿入することで、Webサイトを完全に制御下に置くことも可能です。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。

Websites using the WP Hide & Security Enhancer plugin, particularly those running older versions (≤2.5.1), are at risk. Shared hosting environments are particularly vulnerable as they often have limited file permission controls, making it easier for attackers to exploit this vulnerability.

• wordpress / composer / npm:

grep -r 'file_process.php' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list | grep "WP Hide & Security Enhancer"

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-content/plugins/wp-hide-security-enhancer/file-process.php?file=../../../../etc/passwd

1. 2024-12-06Disclosure

   disclosure

1. 予約済み2024-11-20
2. 公開日2024-12-06
3. EPSS 更新日2026-04-02

WP Hide & Security Enhancerプラグインを最新バージョン（2.5.2以降）にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ファイルシステムへのアクセス権を制限し、Webサーバーの設定でファイル削除を試みるリクエストをブロックするルールを実装することを検討してください。また、WAF（Web Application Firewall）を導入し、不審なファイルアクセス試行を監視することも有効です。プラグインのアップデート後、ファイルシステムへのアクセスログを確認し、不正なアクセスがないか確認してください。

アクティブインストール数

50K既知

プラグイン評価

4.3

WordPressが必要

4.0+

動作確認済みバージョン

7.0

PHPが必要

5.4+