Error Log Viewer By WP Guru <= 1.0.1.3 - 認証なしの不正なファイル読み出しに対する認可の欠如

この脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスできるため、深刻な影響をもたらす可能性があります。例えば、設定ファイル、データベースのバックアップ、ソースコードなど、機密情報を含むファイルが漏洩する可能性があります。攻撃者は、これらの情報を利用して、システムへのさらなる侵入を試みたり、データを改ざんしたり、サービスを停止させたりする可能性があります。特に、WordPressの管理者のパスワードやデータベースの接続情報が漏洩した場合、システム全体が危険にさらされる可能性があります。

WordPress websites using the Error Log Viewer By WP Guru plugin, particularly those running versions prior to 1.0.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the exposure of data from other sites.

• wordpress / composer / npm:

grep -r 'wp_ajax_nopriv_elvwp_log_download' /var/www/html/wp-content/plugins/error-log-viewer-by-wp-guru/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=elvwp_log_download&file=/etc/passwd

• wordpress / composer / npm:

wp plugin list | grep 'Error Log Viewer By WP Guru'

1. 2025-01-07Disclosure

   disclosure

1. 予約済み2024-12-20
2. 公開日2025-01-07
3. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずError Log Viewer By WP Guruプラグインを最新バージョンにアップデートすることが最も重要です。アップデートが利用できない場合、プラグインの無効化を検討してください。また、WAF（Web Application Firewall）を導入し、不正なファイルアクセスを検知・遮断するルールを設定することも有効です。ファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも重要です。アップデート後、プラグインの動作を確認し、ファイルアクセス権限が正しく設定されていることを確認してください。

アクティブインストール数

100

プラグイン評価

4.5

WordPressが必要

5.4+

動作確認済みバージョン

6.7.5

PHPが必要

5.6+