WordPress Advanced Classifieds & Directory Pro プラグイン <= 3.1.3 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

このパス・トラバーサル脆弱性を悪用されると、攻撃者はウェブサーバーのファイルシステムを自由に探索し、機密情報を窃取する可能性があります。例えば、設定ファイル、データベースのバックアップ、ソースコードなどが標的となる可能性があります。攻撃者は、この脆弱性を利用して、サーバー上で任意のコードを実行したり、他のシステムへの攻撃の足がかりにしたりすることも考えられます。この脆弱性は、ウェブサイトの完全な侵害につながる重大なリスクをもたらします。

Websites utilizing PluginsWare Advanced Classifieds & Directory Pro, particularly those running older versions (≤3.1.3) and those with shared hosting environments where file permissions may be less restrictive, are at increased risk. Sites with sensitive data stored on the server are especially vulnerable.

• wordpress / plugin:

wp plugin list | grep Advanced Classifieds

• wordpress / plugin: Check for unusual files in the plugin's directory or accessible via web requests. • generic web: Monitor web server access logs for requests containing ../ or other path traversal sequences. • generic web: Use a WAF to block requests containing suspicious path traversal patterns.

1. 2024-07-09Disclosure

   disclosure

1. 予約済み2024-06-09
2. 公開日2024-07-09
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

まず、Advanced Classifieds & Directory Proをバージョン3.1.4にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ウェブサーバーの設定でファイルアクセスを制限する、またはWAF（Web Application Firewall）を導入して、不正なファイルアクセスを検知・遮断するなどの代替策を検討してください。また、ファイルシステムのアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも重要です。アップデート後、ファイルシステムへの不正アクセスがないか、ログを監視し、確認してください。

アクティブインストール数

2K既知

プラグイン評価

4.7

WordPressが必要

6.3+

動作確認済みバージョン

7.0

PHPが必要

5.6.20+