WordPress Strategery Migrations プラグイン <= 1.0 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性は、攻撃者がファイルシステムを自由に探索することを可能にします。攻撃者は、Webサーバーのルートディレクトリや、データベースの構成ファイルなど、機密情報を含むファイルを読み出す可能性があります。さらに、攻撃者は書き込み権限を持つファイルを改ざんし、悪意のあるコードを実行したり、Webサイトの機能を破壊したりすることも可能です。この脆弱性は、サーバー全体のセキュリティを脅かす重大なリスクとなります。類似の脆弱性は、ファイルアップロード機能の不備などから発生することがあります。

WordPress websites utilizing the Strategery Migrations plugin, particularly those running versions prior to 1.0.1, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable, as they may not be able to quickly apply updates.

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/strategery-migrations/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/strategery-migrations/../../../../etc/passwd' # Check for directory traversal

1. 2024-06-10Disclosure

   disclosure

1. 予約済み2024-05-17
2. 公開日2024-06-10
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

Strategery Migrationsのバージョン1.0.1へのアップデートが最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定でファイルアクセスを制限する、またはファイルアップロード機能を使用しないようにするなど、一時的な回避策を検討してください。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。WordPressのプラグインディレクトリで、Strategery Migrationsの最新バージョンが公開されているか確認し、必要に応じて手動でアップデートしてください。