HIGHCVE-2024-11976CVSS 7.3

BuddyPress <= 14.3.3 - 認証されていない任意のショートコード実行

Q: CVE-2024-11976 — 任意コード実行 in BuddyPressとは何ですか？

CVE-2024-11976は、WordPressのBuddyPressプラグインのバージョン14.3.3以前に存在する、攻撃者が不正なショートコードを実行できる脆弱性です。

Q: CVE-2024-11976 in BuddyPressに影響を受けますか？

WordPressでBuddyPressプラグインのバージョン14.3.3以前を使用している場合は、影響を受けます。速やかにバージョン14.3.4以降にアップデートしてください。

Q: CVE-2024-11976 in BuddyPressを修正するにはどうすればよいですか？

BuddyPressプラグインをバージョン14.3.4以降にアップデートすることで修正できます。

Q: CVE-2024-11976は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、脆弱性の深刻度を考慮すると、今後悪用されるリスクは高いと考えられます。

Q: CVE-2024-11976に関するBuddyPressの公式アドバイザリはどこで入手できますか？

BuddyPressの公式ウェブサイトまたはWordPressのセキュリティアドバイザリを参照してください。

プラットフォーム

wordpress

コンポーネント

buddypress

修正版

14.3.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-11976は、WordPressプラグインBuddyPressにおいて、バージョン14.3.3以前に発見された任意コード実行の脆弱性です。この脆弱性を悪用されると、攻撃者は不正なショートコードを実行し、システムに深刻な影響を及ぼす可能性があります。影響を受けるバージョンは14.3.3以前ですが、バージョン14.3.4で修正が提供されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がWordPressサイト上で任意のPHPコードを実行することを可能にします。これにより、攻撃者は機密情報を盗み出したり、ウェブサイトのコンテンツを改ざんしたり、さらにはサーバー全体を制御する可能性があります。特に、WordPressサイトが機密情報を取り扱っている場合や、重要なビジネスプロセスを支えている場合には、この脆弱性の影響は甚大です。攻撃者は、不正なショートコードを挿入することで、データベースへのアクセス、ファイルの改ざん、バックドアの設置など、様々な悪意のある活動を実行できる可能性があります。この脆弱性は、WordPressのセキュリティ全体を脅かす重大なリスクとなります。

悪用の状況

この脆弱性は、公開されている情報に基づいて悪用される可能性があります。現時点では、積極的に悪用されているという報告はありませんが、脆弱性の深刻度を考慮すると、今後悪用されるリスクは高いと考えられます。CISAのKEVリストへの登録状況は不明です。NVDの公開日は2026-01-22です。

リスク対象者翻訳中…

WordPress websites utilizing the BuddyPress plugin, particularly those running versions prior to 14.3.4, are at risk. Shared hosting environments are especially vulnerable, as a compromised BuddyPress installation on one site could potentially impact others on the same server. Sites with custom shortcode implementations or plugins that interact with BuddyPress are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'do_shortcode' /var/www/html/wp-content/plugins/buddypress/

• wordpress / composer / npm:

wp plugin list --status=active | grep buddypress

• wordpress / composer / npm:

wp plugin update buddypress --all

• generic web: Check for unusual shortcode usage in website content, particularly in areas accessible to unauthenticated users.

攻撃タイムライン

2026-01-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.10% (27% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントbuddypress

ベンダーwordfence

影響範囲修正版

* – 14.3.314.3.4

14.3.314.3.4

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-11-28
公開日2026-01-22
更新日2026-01-23
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、BuddyPressプラグインをバージョン14.3.4以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、WordPressのセキュリティプラグインを使用して、ショートコードの実行を制限することができます。また、ウェブアプリケーションファイアウォール（WAF）を導入し、不正なショートコードの実行を検知・ブロックすることも有効です。さらに、WordPressのセキュリティ設定を見直し、不要なプラグインを削除し、常に最新バージョンにアップデートすることで、セキュリティリスクを軽減することができます。

修正方法

バージョン 14.3.4、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-11976 — 任意コード実行 in BuddyPressとは何ですか？

CVE-2024-11976は、WordPressのBuddyPressプラグインのバージョン14.3.3以前に存在する、攻撃者が不正なショートコードを実行できる脆弱性です。

CVE-2024-11976 in BuddyPressに影響を受けますか？

WordPressでBuddyPressプラグインのバージョン14.3.3以前を使用している場合は、影響を受けます。速やかにバージョン14.3.4以降にアップデートしてください。

CVE-2024-11976 in BuddyPressを修正するにはどうすればよいですか？

BuddyPressプラグインをバージョン14.3.4以降にアップデートすることで修正できます。

CVE-2024-11976は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、脆弱性の深刻度を考慮すると、今後悪用されるリスクは高いと考えられます。

CVE-2024-11976に関するBuddyPressの公式アドバイザリはどこで入手できますか？

BuddyPressの公式ウェブサイトまたはWordPressのセキュリティアドバイザリを参照してください。

BuddyPress <= 14.3.3 - 認証されていない任意のショートコード実行

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2024-11976 — 任意コード実行 in BuddyPressとは何ですか？

CVE-2024-11976 in BuddyPressに影響を受けますか？

CVE-2024-11976 in BuddyPressを修正するにはどうすればよいですか？

CVE-2024-11976は積極的に悪用されていますか？

CVE-2024-11976に関するBuddyPressの公式アドバイザリはどこで入手できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認