WordPress XforWooCommerce プラグイン <= 2.0.2 - 認証済みローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性を悪用されると、攻撃者はXforWooCommerceプラグインを通じて、サーバー上の任意のファイルを読み込むことが可能になります。これにより、設定ファイル、ソースコード、データベースのバックアップなど、機密情報が漏洩するリスクがあります。さらに、攻撃者はこの脆弱性を利用して、悪意のあるPHPコードをサーバーにアップロードし、実行することで、システムを完全に制御下に置くことも可能です。パス・トラバーサル攻撃は、Webサーバーのファイル構造を悪用するため、適切なアクセス制限や入力検証が不可欠です。

WordPress websites utilizing the XforWooCommerce plugin, particularly those running versions prior to 2.0.3, are at risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are websites with misconfigured file permissions that could exacerbate the impact of a successful exploit.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/xforwoocommerce/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/xforwoocommerce/path/to/file../sensitive_file.php

1. 2024-06-04Disclosure

   disclosure

1. 予約済み2024-04-25
2. 公開日2024-06-04
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

XforWooCommerceのバージョンを2.0.3にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃を検出し、ブロックすることができます。また、WordPressのファイルパーミッションを適切に設定し、XforWooCommerceプラグインのディレクトリへのアクセスを制限することも有効です。さらに、wp-config.phpファイルの保護を強化し、機密情報が漏洩するリスクを軽減してください。