HIGHCVE-2024-37497CVSS 7.7

WordPress JetThemeCore プラグイン < 2.2.1 - サブスクライバー+による任意のファイル削除の脆弱性

Q: CVE-2024-37497 — パス・トラバーサル脆弱性はJetThemeCoreで何ですか？

CVE-2024-37497は、Crocoblock JetThemeCoreのバージョン2.2.1以前に存在するパス・トラバーサル脆弱性で、攻撃者が本来アクセスできないファイルにアクセスできる可能性があります。

Q: CVE-2024-37497でJetThemeCoreを使用していますか？

Crocoblock JetThemeCoreのバージョンが2.2.1以前の場合は、影響を受けます。バージョン2.2.1以降にアップデートしてください。

Q: CVE-2024-37497でJetThemeCoreを修正するにはどうすればよいですか？

JetThemeCoreをバージョン2.2.1にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、Webサーバーの設定でアクセス制限を強化してください。

Q: CVE-2024-37497は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用事例が多く、今後悪用される可能性があります。

Q: CVE-2024-37497のJetThemeCore公式アドバイザリはどこで入手できますか？

Crocoblockの公式ウェブサイトまたはWordPressプラグインディレクトリで、CVE-2024-37497に関するアドバイザリをご確認ください。

プラットフォーム

wordpress

コンポーネント

jet-theme-core

修正版

2.2.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

Crocoblock JetThemeCoreのバージョン2.2.1以前には、パス・トラバーサル脆弱性が存在します。この脆弱性は、攻撃者が本来アクセスできないファイルを読み書きすることを可能にし、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンは2.2.1以前です。最新バージョン2.2.1へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。これにより、設定ファイル、ソースコード、機密データなどが漏洩するリスクがあります。さらに、攻撃者はこの脆弱性を利用して、悪意のあるファイルをアップロードしたり、既存のファイルを改ざんしたりすることで、Webサイトの機能を破壊したり、不正なコンテンツを表示したりすることが可能になります。攻撃者は、Webサイトの認証情報を盗み出し、他のシステムへのアクセスを試みることも考えられます。

悪用の状況

この脆弱性は、2024年7月9日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、パス・トラバーサル脆弱性は悪用事例が多く、今後悪用される可能性があります。CISA KEVへの登録状況は確認されていません。NVD（National Vulnerability Database）の情報も参照し、最新の動向を注視してください。

リスク対象者翻訳中…

Websites using JetThemeCore versions prior to 2.2.1 are at risk. This includes sites using shared hosting environments where file permissions may be less restrictive, and those relying on older WordPress installations that haven't been regularly updated. Sites with sensitive data stored within the WordPress file system are particularly vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/jet-themecore/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/jet-themecore/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-07-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.16% (37% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjet-theme-core

ベンダーCrocoblock

影響範囲修正版

0.0.0 – 2.2.02.2.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-09
公開日2024-07-09
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、JetThemeCoreをバージョン2.2.1にアップデートすることです。アップデートが困難な場合は、Webサーバーの設定でアクセス制限を強化し、JetThemeCoreのディレクトリへの直接アクセスを禁止するなどの対策を講じることが推奨されます。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。ファイルアクセスログを監視し、不審なアクセスがないか定期的に確認することも重要です。アップデート後、JetThemeCoreのファイルアクセス権限を確認し、必要に応じて修正してください。

修正方法翻訳中…

Actualice el plugin JetThemeCore a la versión 2.2.1 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Puede actualizar a través del panel de administración de WordPress o descargando la última versión desde el sitio web del desarrollador.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-37497 — パス・トラバーサル脆弱性はJetThemeCoreで何ですか？