HIGHCVE-2024-37268CVSS 8.5

WordPress Strikingテーマ <= 2.3.4 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-37268 — Path Traversal in Striking WordPressプラグインとは何ですか？

CVE-2024-37268は、Striking WordPressプラグインのパス名制限不備により発生するPath Traversal脆弱性です。攻撃者はこの脆弱性を悪用し、本来アクセスできないファイルにアクセスできる可能性があります。

Q: CVE-2024-37268 in Striking WordPressプラグインの影響はありますか？

Striking WordPressプラグインのバージョン2.3.4以下を使用している場合、影響を受ける可能性があります。攻撃者は機密情報にアクセスする可能性があります。

Q: CVE-2024-37268 in Striking WordPressプラグインを修正するにはどうすればよいですか？

Striking WordPressプラグインをバージョン2.3.5以降にアップデートしてください。アップデートできない場合は、ファイルパーミッションの設定やWAFの導入などの対策を講じてください。

Q: CVE-2024-37268 in Striking WordPressプラグインは積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2024-37268 in Striking WordPressプラグインの公式アドバイザリはどこで入手できますか？

Striking WordPressプラグインの公式アドバイザリは、開発者のウェブサイトまたはWordPressプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

striking-r

修正版

2.3.5

AI Confidence: highNVDEPSS 1.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-37268は、Striking WordPressプラグインにおけるパス名制限の不備に起因するPath Traversal脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは、Striking 2.3.4以下です。開発者はバージョン2.3.5でこの問題を修正しました。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者がStrikingプラグインの処理を悪用し、本来アクセスできないファイルシステム上のファイルにアクセスすることを可能にします。攻撃者は、Webサーバーのルートディレクトリ外にある機密情報（設定ファイル、データベースダンプ、ソースコードなど）を読み出す可能性があります。これにより、機密情報の漏洩、システムへの不正アクセス、さらにはサーバー全体の制御奪取につながる可能性があります。WordPressサイト全体が影響を受ける可能性があり、特にプラグインを多用しているサイトや、ファイルパーミッションの設定が不適切なサイトにおいて、リスクが高まります。

悪用の状況

この脆弱性は、2024年7月9日に公開されました。現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は確認されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

WordPress websites utilizing the Striking plugin, particularly those running older versions (≤2.3.4), are at risk. Shared hosting environments where file system permissions are less tightly controlled are especially vulnerable. Sites with weak security configurations or inadequate input validation practices are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/striking/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/striking/../../../../etc/passwd' # Check for sensitive file access

攻撃タイムライン

2024-07-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.08% (78% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントstriking-r

ベンダーkaptinlin

影響範囲修正版

0.0.0 – 2.3.42.3.5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-04
公開日2024-07-09
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

最も効果的な対策は、Strikingプラグインをバージョン2.3.5以降にアップデートすることです。アップデートできない場合は、ファイルパーミッションを適切に設定し、Webサーバーの設定でアクセス制限を強化することで、脆弱性の悪用を軽減できます。WAF（Web Application Firewall）を導入し、Path Traversal攻撃を検知・防御するルールを設定することも有効です。また、プラグインの入力検証を強化し、不正なパス名が使用されないようにすることも重要です。アップデート後、プラグインの動作を確認し、想定通りの動作をするか検証してください。

修正方法翻訳中…

Actualice el tema Striking a una versión posterior a la 2.3.4. Si no hay una versión disponible, considere deshabilitar o reemplazar el tema con una alternativa segura. Consulte la documentación del tema o al proveedor para obtener instrucciones específicas de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-37268 — Path Traversal in Striking WordPressプラグインとは何ですか？