プラットフォーム
wordpress
コンポーネント
folders
修正版
3.0.3
Folders Proプラグインのバージョン3.0.2以前には、ファイルタイプ検証の不備により、認証された攻撃者が任意のファイルをサーバーにアップロードできる脆弱性(CVE-2024-2024)が存在します。この脆弱性を悪用されると、リモートコード実行につながる可能性があります。WordPressサイトのセキュリティを確保するため、最新バージョンへのアップデートを推奨します。脆弱性は2024年6月14日に公開されました。
この脆弱性は、認証された攻撃者(著者権限以上)が、ファイルタイプを適切に検証せずに任意のファイルをアップロードすることを可能にします。アップロードされたファイルは、Webサーバーのファイルシステムに保存され、実行可能なファイル(PHPスクリプトなど)であれば、攻撃者はWebサーバー上で任意のコードを実行できるようになります。これにより、機密情報の窃取、Webサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。類似の脆弱性は、Webアプリケーションにおけるファイルアップロード機能の不備から発生することが多く、厳重なセキュリティ対策が求められます。
この脆弱性は、2024年6月14日に公開されており、現時点ではKEV(Known Exploited Vulnerabilities)に登録されていません。EPSS(Exploit Prediction Score System)のスコアは、まだ評価されていません。公的なPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に監視し、最新の脅威動向を把握することが重要です。
WordPress websites utilizing the Folders Pro plugin, particularly those with users having author or higher roles, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially impact others. Legacy WordPress installations running outdated versions of Folders Pro are also at increased risk.
• wordpress / composer / npm:
grep -r "handle_folders_file_upload" /var/www/html/wp-content/plugins/folders-pro/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Folders Pro'• wordpress / composer / npm:
wp plugin update folders-pro --all• generic web: Check WordPress plugin directory for Folders Pro updates and security advisories.
disclosure
エクスプロイト状況
EPSS
17.12% (95% パーセンタイル)
CISA SSVC
CVSS ベクトル
Folders Proプラグインのバージョン3.0.3以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。もしアップデートが困難な場合は、ファイルアップロード機能へのアクセスを制限するWAF(Web Application Firewall)ルールを実装するか、WordPressの設定でファイルアップロードを一時的に無効にすることを検討してください。また、アップロードされるファイルの拡張子を厳密に制限するなどの対策も有効です。アップデート後、アップロード機能が正常に動作することを確認してください。
Actualice el plugin Folders Pro a la última versión disponible. La vulnerabilidad permite la subida de archivos arbitrarios, lo que podría llevar a la ejecución remota de código. La actualización corrige la falta de validación de tipos de archivo.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-2024は、WordPressのFolders Proプラグインにおいて、認証された攻撃者が任意のファイルをアップロードできる脆弱性です。
Folders Proプラグインのバージョン3.0.2以下のサイトが影響を受けます。悪用されると、リモートコード実行につながる可能性があります。
Folders Proプラグインをバージョン3.0.3以降にアップデートしてください。
現時点では公的なPoCは確認されていませんが、悪用される可能性は否定できません。
Folders Proの公式ウェブサイトまたはWordPressプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。