HIGHCVE-2024-37108CVSS 8.1

WishList Member X < 3.26.7 - 認証済み (購読者+) による任意のファイル削除

Q: CVE-2024-37108 — 任意ファイルアクセス in Wishlist Memberとは何ですか？

CVE-2024-37108は、Wishlist Memberプラグインのバージョン3.26.7以前における、認証された攻撃者による任意ファイル削除を可能にする脆弱性です。

Q: CVE-2024-37108 in Wishlist Memberに影響を受けますか？

Wishlist Memberプラグインのバージョンが3.26.7以前の場合、影響を受けます。

Q: CVE-2024-37108 in Wishlist Memberを修正するにはどうすればよいですか？

Wishlist Memberプラグインをバージョン3.26.7にアップデートしてください。

Q: CVE-2024-37108は積極的に悪用されていますか？

現時点で、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、攻撃の可能性は否定できません。

Q: CVE-2024-37108に関するWishlist Memberの公式アドバイザリはどこで入手できますか？

Wishlist Memberの公式ウェブサイトまたはWordPressプラグインリポジトリで確認してください。

プラットフォーム

wordpress

コンポーネント

wishlist-member-x

修正版

3.26.7

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

Wishlist Memberプラグインのバージョン3.26.7以前には、ファイルパスの検証が不十分なため、任意ファイル削除の脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者はサーバー上の任意のファイルを削除することが可能となり、リモートコード実行につながる可能性があります。影響を受けるバージョンは3.26.7以前です。最新バージョン3.26.7へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者（Subscriberレベル以上のアクセス権を持つユーザー）がサーバー上の任意のファイルを削除できることを意味します。特に、wp-config.phpのような重要な設定ファイルを削除した場合、Webサイトの機能が停止し、攻撃者がサーバーを完全に制御できるようになる可能性があります。攻撃者は、削除されたファイルの内容を改ざんしたり、悪意のあるコードを挿入したりすることで、さらなる攻撃を仕掛ける可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクを伴います。

悪用の状況

この脆弱性は、2024年6月20日に公開されました。現時点で、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性の情報に基づき、攻撃者がこの脆弱性を悪用する可能性は否定できません。特に、WordPressサイトを運用している組織は、速やかに対応を検討する必要があります。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the Wishlist Member plugin, particularly those running versions prior to 3.26.7, are at risk. Shared hosting environments are especially vulnerable, as they often have limited file permission controls and a higher density of WordPress installations, increasing the potential attack surface. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are also at heightened risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'wishlist_member_delete_file' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list --status=active | grep Wishlist Member

• wordpress / composer / npm:

wp plugin update wishlist-member --version=3.26.7

• generic web: Check WordPress access logs for requests containing suspicious file paths or deletion attempts targeting sensitive files like wp-config.php.

攻撃タイムライン

2024-06-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.28% (52% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwishlist-member-x

ベンダーwordfence

影響範囲修正版

0.0.0 – 3.26.63.26.7

3.26.73.26.7

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-03
公開日2024-06-20
更新日2026-02-26
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Wishlist Memberプラグインをバージョン3.26.7にアップデートすることです。アップデートがすぐに利用できない場合、一時的な対策として、ファイルシステムのアクセス権を制限し、wp-config.phpのような重要なファイルへの書き込みアクセスを禁止することを検討してください。また、WAF（Web Application Firewall）を導入し、不審なファイルアクセスリクエストをブロックすることも有効です。WordPressのセキュリティプラグインを導入し、ファイル整合性チェックを有効にすることも推奨されます。

修正方法

バージョン 3.26.7、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-37108 — 任意ファイルアクセス in Wishlist Memberとは何ですか？

CVE-2024-37108は、Wishlist Memberプラグインのバージョン3.26.7以前における、認証された攻撃者による任意ファイル削除を可能にする脆弱性です。

CVE-2024-37108 in Wishlist Memberに影響を受けますか？

Wishlist Memberプラグインのバージョンが3.26.7以前の場合、影響を受けます。

CVE-2024-37108 in Wishlist Memberを修正するにはどうすればよいですか？

Wishlist Memberプラグインをバージョン3.26.7にアップデートしてください。

CVE-2024-37108は積極的に悪用されていますか？

現時点で、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、攻撃の可能性は否定できません。

CVE-2024-37108に関するWishlist Memberの公式アドバイザリはどこで入手できますか？

Wishlist Memberの公式ウェブサイトまたはWordPressプラグインリポジトリで確認してください。

WishList Member X < 3.26.7 - 認証済み (購読者+) による任意のファイル削除

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2024-37108 — 任意ファイルアクセス in Wishlist Memberとは何ですか？

CVE-2024-37108 in Wishlist Memberに影響を受けますか？

CVE-2024-37108 in Wishlist Memberを修正するにはどうすればよいですか？

CVE-2024-37108は積極的に悪用されていますか？

CVE-2024-37108に関するWishlist Memberの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認