プラットフォーム
wordpress
コンポーネント
database-backup
修正版
2.36.1
Database Backup and check Tables Automated With Scheduler 2024プラグインは、バージョン2.36以前において、ファイルパスの検証不備により、認証された攻撃者が任意のファイルを削除できる脆弱性(CVE-2024-13910)が存在します。この脆弱性を悪用されると、wp-config.phpなどの重要なファイルを削除し、リモートコード実行に繋がる可能性があります。バージョン2.36でこの問題は部分的に修正されており、アップデートを推奨します。
この脆弱性は、認証された攻撃者(管理者権限以上)が、Database Backup and check Tables Automated With Scheduler 2024プラグインの'databasebackupajax_delete'関数における不適切なファイルパス検証を悪用することで、サーバー上の任意のファイルを削除することを可能にします。攻撃者は、wp-config.phpなどの重要な設定ファイルを削除することで、WordPressサイト全体の制御を奪う可能性があります。さらに、削除されたファイルの内容によっては、データベース情報やAPIキーなどの機密情報が漏洩するリスクも存在します。この脆弱性は、Log4Shellのような深刻な影響を及ぼす可能性があり、迅速な対応が必要です。
CVE-2024-13910は、2025年3月1日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、認証された攻撃者が容易に悪用できるため、攻撃の可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明ですが、WordPressプラグインの脆弱性であるため、注意が必要です。
WordPress websites utilizing the Database Backup and check Tables Automated With Scheduler plugin, particularly those with shared hosting environments where file permissions may be less restrictive, are at risk. Legacy WordPress installations with outdated plugins and inadequate security practices are also particularly vulnerable.
• wordpress / plugin: Use wp-cli plugin list to identify installations of the Database Backup and check Tables Automated With Scheduler plugin. Check the version number to determine if it is vulnerable.
wp plugin list --status=all | grep 'Database Backup and check Tables Automated With Scheduler'• wordpress / plugin: Examine plugin files for the databasebackupajax_delete function and any related file path validation logic. Look for instances where user-supplied input is directly used to construct file paths without proper sanitization.
• generic web: Monitor web server access logs for requests to the databasebackupajax_delete endpoint, particularly those originating from unusual IP addresses or user agents. Look for patterns indicative of file deletion attempts.
• wordpress / composer / npm: While this plugin doesn't use Composer or npm, ensure other plugins are regularly audited for vulnerabilities using composer audit or npm audit.
disclosure
エクスプロイト状況
EPSS
3.97% (88% パーセンタイル)
CISA SSVC
CVSS ベクトル
Database Backup and check Tables Automated With Scheduler 2024プラグインをバージョン2.36以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ファイルシステム権限を適切に設定し、プラグインがアクセスできるファイルの範囲を制限することで、攻撃の影響を軽減できます。また、WAF(Web Application Firewall)を導入し、不審なファイル削除リクエストを検知・遮断するルールを設定することも有効です。さらに、WordPressのセキュリティプラグインを導入し、ファイル整合性チェックや不正なファイルアクセスを監視することで、早期に攻撃を検知できます。
Actualice el plugin Database Backup and check Tables Automated With Scheduler 2024 a la versión 2.36 o superior. Esta versión contiene una corrección para la vulnerabilidad de eliminación arbitraria de archivos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-13910は、Database Backup and check Tables Automated With Scheduler 2024プラグインのバージョン2.36以前において、認証された攻撃者が任意のファイルを削除できる脆弱性です。
Database Backup and check Tables Automated With Scheduler 2024プラグインのバージョン2.36以前を使用している場合は、影響を受けます。
Database Backup and check Tables Automated With Scheduler 2024プラグインをバージョン2.36以上にアップデートしてください。
現時点では公開PoCは確認されていませんが、攻撃の可能性は高いと考えられます。
プラグインの公式サイトまたはWordPressのセキュリティアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。