HIGHCVE-2024-35743CVSS 8.6

WordPress SC filechecker プラグイン <= 0.6 - 任意のファイル削除の脆弱性

Q: CVE-2024-35743 — Path Traversal in SC filecheckerとは何ですか？

CVE-2024-35743は、Siteclean SC filecheckerのパス制限不備により、攻撃者が任意のファイルにアクセスできる脆弱性です。

Q: CVE-2024-35743 in SC filecheckerに影響はありますか？

SC filecheckerのバージョンが0.6以下の場合、この脆弱性に影響を受ける可能性があります。

Q: CVE-2024-35743 in SC filecheckerを修正するにはどうすればよいですか？

SC filecheckerをバージョン0.6.1にアップデートしてください。

Q: CVE-2024-35743は積極的に悪用されていますか？

現時点では、積極的な悪用事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすいので注意が必要です。

Q: CVE-2024-35743に関するSitecleanの公式アドバイザリはどこで入手できますか？

Sitecleanの公式アドバイザリは、https://www.siteclean.jp/news/20240610-sc-filechecker-vulnerability/ を参照してください。

プラットフォーム

wordpress

コンポーネント

wp-file-checker

修正版

0.6.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

Siteclean SC filecheckerにおけるパス制限不備（Path Traversal）の脆弱性（CVE-2024-35743）は、攻撃者がファイルシステム内の任意のファイルにアクセスすることを可能にします。この脆弱性は、SC filecheckerのバージョン0.6以下で確認されています。この脆弱性に対処するため、バージョン0.6.1へのアップデートを推奨します。

影響と攻撃シナリオ

このPath Traversal脆弱性を悪用されると、攻撃者はWebサーバーのファイルシステム内の機密情報（設定ファイル、ソースコード、データベースダンプなど）を盗み出す可能性があります。さらに、攻撃者はWebサイトのコンテンツを改ざんしたり、悪意のあるファイルをアップロードしたりすることも可能です。この脆弱性は、WordPress環境全体に影響を及ぼす可能性があり、Webサイトの完全な侵害につながる可能性があります。類似のPath Traversal脆弱性は、Webアプリケーションにおいて頻繁に発生しており、適切な入力検証とファイルアクセス制御の欠如が原因となることが多いです。

悪用の状況

この脆弱性は2024年6月10日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。公開されているPoC（Proof of Concept）は確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすく、今後積極的に悪用される可能性があります。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の脅威情報に注意してください。

リスク対象者翻訳中…

WordPress websites using the SC filechecker plugin, particularly those running versions prior to 0.6.1, are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with misconfigured file permissions are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/sc-filechecker/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/sc-filechecker/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-06-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.17% (39% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwp-file-checker

ベンダーSiteclean

影響範囲修正版

0.0.0 – 0.60.6.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-05-17
公開日2024-06-10
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

SC filecheckerのバージョンを0.6.1にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、Webサーバーの設定でファイルアクセスを制限する、またはWAF（Web Application Firewall）を使用してPath Traversal攻撃をブロックするなどの回避策を検討してください。また、ファイル名に特殊文字が含まれていないか、ファイルパスが意図したディレクトリ内に限定されているかなど、入力検証を強化することも有効です。アップデート後、ファイルアクセス権限が適切に設定されていることを確認してください。

修正方法翻訳中…

Actualice el plugin SC filechecker a una versión posterior a la 0.6. Si no hay una versión disponible, considere desinstalar el plugin hasta que se publique una versión corregida. Esto evitará la eliminación arbitraria de archivos en su servidor.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-35743 — Path Traversal in SC filecheckerとは何ですか？