WordPress Cowidgets – Elementor Addons プラグイン <= 1.1.1 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

このパス・トラバーサル脆弱性は、攻撃者がサーバー上の機密ファイル（設定ファイル、ソースコード、データベースダンプなど）にアクセスする可能性があります。攻撃者は、この脆弱性を悪用して、Webサイトの機密情報を盗み出し、改ざんしたり、さらにはサーバーを完全に制御したりする可能性があります。特に、WordPressの管理画面にアクセスできる攻撃者にとって、この脆弱性は非常に危険です。攻撃者は、この脆弱性を利用して、Webサイトのコンテンツを改ざんしたり、悪意のあるコードを挿入したりする可能性があります。

WordPress websites using Cowidgets – Elementor Addons are at risk, particularly those with default file permissions or those running older, unpatched versions of the plugin. Shared hosting environments where users have limited control over server configurations are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/cowidgets-elementor-addons/

• generic web:

curl -I 'http://example.com/wp-content/plugins/cowidgets-elementor-addons/../../../../etc/passwd' # Check for file disclosure

1. 2024-07-09Disclosure

   disclosure

1. 予約済み2024-06-09
2. 公開日2024-07-09
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずCowidgets – Elementor Addonsをバージョン1.1.2にアップデートすることを推奨します。アップデートできない場合は、Webサーバーの設定で、Cowidgets – Elementor Addonsのディレクトリへのアクセスを制限するルールを実装してください。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。WordPressのファイルパーミッションを適切に設定し、Webサーバーユーザーが不要なファイルにアクセスできないようにすることも重要です。