File Manager Advanced Shortcode <= 複数のバージョン - 認証済み (管理者以上) ショートコード経由のローカルJavaScriptファイルインクルージョン

このLFI脆弱性は、攻撃者にとって非常に危険です。攻撃者は、filemanageradvancedショートコードを通じて、サーバー上の任意のファイル（特にJavaScriptファイル）をインクルードし、実行することができます。これにより、攻撃者はWebサイトのコードを改ざんしたり、機密情報を盗み出したり、ユーザーを悪意のあるサイトにリダイレクトしたりすることが可能になります。攻撃者は、アップロードできる画像やその他の安全なファイルタイプを利用して、悪意のあるJavaScriptコードをサーバーにアップロードし、それをインクルードすることで、より広範な攻撃を実行できる可能性があります。この脆弱性の悪用により、Webサイト全体の完全性が損なわれる可能性があります。

WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / plugin:

wp plugin list | grep 'File Manager Advanced Shortcode'

• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.

wp plugin list --status=active | grep 'File Manager Advanced Shortcode'

• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.

grep 'file_manager_advanced' /var/log/apache2/error.log

• wordpress / plugin: Review file upload directories for unexpected JavaScript files.

ls -l /path/to/wordpress/wp-content/uploads/

1. 2025-05-15Disclosure

   disclosure

1. 予約済み2025-03-01
2. 公開日2025-05-15
3. 更新日2025-07-01
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、File Manager Advanced Shortcodeプラグインをバージョン2.6.0にアップデートすることです。アップデートが利用できない場合、またはアップデートによってWebサイトの機能に問題が発生する場合は、一時的な回避策として、filemanageradvancedショートコードの使用を無効にすることを検討してください。また、Webアプリケーションファイアウォール（WAF）を使用して、LFI攻撃を検出し、ブロックすることも有効です。WAFのルールを適切に設定し、不審なファイルアクセスを監視することが重要です。WordPressのセキュリティプラグインを使用して、ファイルの整合性を監視し、不正な変更を検出することも推奨されます。