プラットフォーム
wordpress
コンポーネント
woo-permalink-manager
修正版
2.3.11
Premmerce Permalink Manager for WooCommerceにおけるCVE-2024-27971は、パスの制限不備(Path Traversal)に起因する脆弱性です。この脆弱性を悪用されると、攻撃者はPHP Local File Inclusionを介してサーバー上の機密ファイルにアクセスし、システムを侵害する可能性があります。影響を受けるバージョンは、2.3.10以前です。開発者はバージョン2.3.11で修正を提供しています。
この脆弱性は、攻撃者がPremmerce Permalink Managerを通じてサーバー上の任意のファイルにアクセスすることを可能にします。攻撃者は、機密情報(データベースの認証情報、APIキー、ソースコードなど)を盗み出す可能性があります。さらに、この脆弱性を悪用して、悪意のあるコードを実行したり、システムを完全に制御したりすることも可能です。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。類似のPath Traversal脆弱性は、過去に多くのWebアプリケーションで確認されており、攻撃者にとって魅力的な標的となりやすいです。
CVE-2024-27971は、2024年5月17日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)には登録されていません。公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、今後PoCが公開される可能性はあります。攻撃者は、この脆弱性を利用して、WordPressサイトを標的とした攻撃キャンペーンを開始する可能性があります。
Websites using the Premmerce Permalink Manager for WooCommerce plugin, particularly those running older versions (≤2.3.10), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over server file permissions. Sites with misconfigured file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/premmerce-permalink-manager-for-woocommerce/wp-admin/admin.php?page=premmerce-permalink-manager&file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
エクスプロイト状況
EPSS
48.09% (98% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Premmerce Permalink Managerをバージョン2.3.11にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、Path Traversal攻撃をブロックすることを検討してください。WAFのルールセットに、ファイルパスの正規化や、許可されていないディレクトリへのアクセスを制限するルールを追加します。また、WordPressのファイルパーミッションを適切に設定し、Premmerce Permalink Managerのディレクトリへのアクセスを制限することも有効です。アップデート後、ファイルアクセスログを監視し、不正なアクセスがないか確認してください。
Actualice el plugin Premmerce Permalink Manager for WooCommerce a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-27971は、Premmerce Permalink Manager for WooCommerceのバージョン2.3.10以前に存在する、PHP Local File Inclusionを可能にするPath Traversalの脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密ファイルにアクセスする可能性があります。
Premmerce Permalink Manager for WooCommerceのバージョン2.3.10以前を使用している場合は、影響を受けます。バージョン2.3.11にアップデートすることで、この脆弱性を修正できます。
Premmerce Permalink Manager for WooCommerceをバージョン2.3.11にアップデートしてください。アップデートができない場合は、WAFを使用して攻撃をブロックすることを検討してください。
現時点では、CVE-2024-27971を悪用した攻撃の具体的な事例は確認されていません。しかし、Path Traversal脆弱性は悪用が容易であるため、今後悪用される可能性はあります。
Premmerceの公式ウェブサイトまたはWordPressプラグインリポジトリで、CVE-2024-27971に関するアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。