HIGHCVE-2024-34554CVSS 8.5

WordPress Stockholm Core プラグイン <= 2.4.1 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-34554 — パス・トラバーサル脆弱性はStockholm Coreで何ですか？

CVE-2024-34554は、Stockholm Coreのバージョン2.4.1以下において、攻撃者が制限されたディレクトリ外のファイルを読み込めるパス・トラバーサル脆弱性です。

Q: CVE-2024-34554でStockholm Coreを使用しています。影響を受けますか？

はい、Stockholm Coreのバージョンが2.4.1以下の場合、この脆弱性の影響を受けます。バージョン2.4.2へのアップデートが必要です。

Q: CVE-2024-34554でStockholm Coreを修正するにはどうすればよいですか？

Stockholm Coreをバージョン2.4.2以降にアップデートしてください。アップデートが困難な場合は、Webサーバーの設定でアクセス制限やWAFの導入を検討してください。

Q: CVE-2024-34554は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、早期の悪用が懸念されます。

Q: CVE-2024-34554に関するStockholm Coreの公式アドバイザリはどこで入手できますか？

Stockholm Coreの公式アドバイザリは、通常、Stockholm CoreのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

wordpress

コンポーネント

stockholm-core

修正版

2.4.2

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-34554は、Stockholm Coreにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が制限されたディレクトリ外のファイルを読み込むことを可能にし、機密情報の漏洩や悪意のあるコードの実行につながる可能性があります。影響を受けるバージョンは、Stockholm Coreのn/aから2.4.1までのバージョンです。2.4.2へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がStockholm Coreのインストールディレクトリ外の任意のファイルを読み取ることができるため、深刻な影響をもたらす可能性があります。例えば、Webサーバーの構成ファイルやデータベースの接続情報などの機密情報が漏洩する可能性があります。さらに、攻撃者はこの脆弱性を悪用して、Webサーバー上で任意のPHPコードを実行し、システムを完全に制御する可能性があります。この脆弱性の悪用は、Webサイトの改ざん、データの窃取、さらにはサーバー全体の乗っ取りにつながる可能性があります。

悪用の状況

この脆弱性は、2024年6月4日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、早期の悪用が懸念されます。CISA KEVリストへの登録状況は確認されていません。NVD（National Vulnerability Database）も公開されています。

リスク対象者翻訳中…

WordPress websites utilizing the Stockholm Core plugin, particularly those running versions prior to 2.4.2, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a successful exploit on one site could potentially impact others. Websites with misconfigured file permissions are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/stockholm-core/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/stockholm-core/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-06-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.65% (71% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントstockholm-core

ベンダーSelect-Themes

影響範囲修正版

0.0.0 – 2.4.12.4.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-05-06
公開日2024-06-04
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

Stockholm Coreのバージョンを2.4.2以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定でStockholm Coreのディレクトリへのアクセスを制限する、またはWAF（Web Application Firewall）を使用して、パス・トラバーサル攻撃をブロックすることを検討してください。また、ファイルアクセス権限を適切に設定し、不要なファイルの読み取りを制限することも有効です。アップデート後、Stockholm Coreのファイルアクセス権限を確認し、不正なアクセスがないことを確認してください。

修正方法翻訳中…

Actualice el plugin Stockholm Core a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.4.1. Consulte el registro de cambios del plugin para obtener más detalles sobre la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-34554 — パス・トラバーサル脆弱性はStockholm Coreで何ですか？