HIGHCVE-2024-33557CVSS 8.5

WordPress XStore Core プラグイン <= 5.3.8 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-33557 — パス・トラバーサル脆弱性はXStore Coreで何ですか？

CVE-2024-33557は、XStore Coreのバージョン5.3.8以下において、攻撃者が制限されたディレクトリ外のファイルにアクセスできるパス・トラバーサル脆弱性です。

Q: CVE-2024-33557でXStore Coreを使用しています。影響を受けますか？

はい、XStore Coreのバージョンが5.3.8以下の場合、この脆弱性の影響を受けます。バージョン5.3.9へのアップデートが必要です。

Q: CVE-2024-33557でXStore Coreを修正するにはどうすればよいですか？

XStore Coreをバージョン5.3.9以上にアップデートしてください。アップデートが困難な場合は、.htaccessファイルでアクセス制限を試みてください。

Q: CVE-2024-33557は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、早期の悪用が懸念されます。

Q: CVE-2024-33557のXStore Coreの公式アドバイザリはどこで入手できますか？

XStore Coreの公式ウェブサイトまたはWordPressプラグインディレクトリでアドバイザリをご確認ください。

プラットフォーム

wordpress

コンポーネント

et-core-plugin

修正版

5.3.9

AI Confidence: highNVDEPSS 1.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-33557は、XStore Coreにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が制限されたディレクトリ外のファイルにアクセスすることを可能にし、機密情報の漏洩や悪意のあるコードの実行につながる可能性があります。影響を受けるバージョンはXStore Coreのn/aから5.3.8です。バージョン5.3.9へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はXStore CoreがインストールされているWordPress環境内の任意のファイルを読み取ることが可能になります。これにより、設定ファイル、データベースのバックアップ、ソースコードなどの機密情報が漏洩するリスクがあります。さらに、攻撃者はこの脆弱性を利用して、悪意のあるPHPスクリプトをインクルードし、サーバーを完全に制御する可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

この脆弱性は、2024年6月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、早期の悪用が懸念されます。CISA KEVへの登録状況は確認されていません。NVDデータベースにも登録されています。

リスク対象者翻訳中…

Websites using the XStore Core WordPress plugin, particularly those running older versions (≤5.3.8), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the patch. Sites with lax file upload permissions are especially susceptible.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/xstore-core/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/xstore-core/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-06-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.66% (82% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントet-core-plugin

ベンダー8theme

影響範囲修正版

0.0.0 – 5.3.85.3.9

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-24
公開日2024-06-04
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

XStore Coreのバージョンを5.3.9以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressの.htaccessファイルに以下のルールを追加して、ファイルへのアクセスを制限する回避策を検討してください。また、ファイルインクルージョン攻撃を検知するためのWAF（Web Application Firewall）のルールを導入することも有効です。アップデート後、XStore Coreのファイルアクセス権限を確認し、不要なファイルへのアクセスを制限してください。

修正方法翻訳中…

Actualice el plugin XStore Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 5.3.8. Para actualizar, vaya al panel de administración de WordPress, luego a la sección de plugins y busque XStore Core. Si hay una actualización disponible, instálela inmediatamente.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-33557 — パス・トラバーサル脆弱性はXStore Coreで何ですか？