HIGHCVE-2024-35754CVSS 7.5

WordPress Ovic Importer プラグイン <= 1.6.3 - 任意のファイルダウンロードの脆弱性

Q: CVE-2024-35754 — パス・トラバーサル脆弱性はOvic Importerで何ですか？

CVE-2024-35754は、Ovic Importerのバージョン1.6.3以下に存在するパス・トラバーサル脆弱性で、攻撃者が本来アクセスできないファイルを読み取ることが可能になります。

Q: CVE-2024-35754 in Ovic Importerで影響を受けますか？

Ovic Importerのバージョンが1.6.3以前を使用している場合、この脆弱性の影響を受けます。

Q: CVE-2024-35754 in Ovic Importerを修正するにはどうすればよいですか？

Ovic Importerをバージョン1.6.4にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-35754は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、注意が必要です。

Q: CVE-2024-35754に関するOvic Importerの公式アドバイザリはどこで入手できますか？

Ovic Importerの公式アドバイザリは、Ovic Teamのウェブサイトで確認できます。

プラットフォーム

wordpress

コンポーネント

ovic-import-demo

修正版

1.6.4

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-35754は、Ovic Importerにおいてパス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。影響を受けるバージョンは、Ovic Importer 1.6.3以前です。2024年6月10日に公開され、バージョン1.6.4で修正されました。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がOvic Importerを通じてサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイルやログファイルから機密情報（データベースのパスワード、APIキーなど）を盗み出すことが考えられます。攻撃者は、この情報を利用してシステムへの更なる侵入を試みる可能性があります。この脆弱性は、WordPress環境でOvic Importerを使用している場合に特に危険です。攻撃者は、WordPressの脆弱性を利用してOvic Importerにアクセスし、パス・トラバーサル攻撃を実行する可能性があります。

悪用の状況

CVE-2024-35754は、2024年6月10日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）には登録されていません。公的なPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。NVD（National Vulnerability Database）にも登録されており、攻撃者による悪用が懸念されます。

リスク対象者翻訳中…

WordPress websites utilizing the Ovic Importer plugin, particularly those running older versions (≤1.6.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with misconfigured file permissions that allow the web server user to access sensitive files are at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/ovic-importer/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/ovic-importer/../../../../etc/passwd' # Check for file access

攻撃タイムライン

2024-06-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.78% (74% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントovic-import-demo

ベンダーOvic Team

影響範囲修正版

0.0.0 – 1.6.31.6.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-05-17
公開日2024-06-10
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Ovic Importerをバージョン1.6.4にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、Ovic Importerがアクセスできるディレクトリを制限する設定を検討してください。また、WordPressのセキュリティ設定を見直し、不要なプラグインを削除するなど、WordPress全体のセキュリティを強化することも重要です。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。

修正方法翻訳中…

Actualice el plugin Ovic Importer a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de Path Traversal.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-35754 — パス・トラバーサル脆弱性はOvic Importerで何ですか？