HIGHCVE-2024-37513CVSS 8.5

WordPress WPCafe プラグイン <= 2.2.27 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-37513 — パス・トラバーサルはWPCafeプラグインで何ですか？

CVE-2024-37513は、WPCafe WordPressプラグインのバージョン2.2.27以下において、攻撃者が本来アクセスできないファイルを読み出すことを可能にするパス・トラバーサル脆弱性です。

Q: CVE-2024-37513でWPCafeプラグインを使用していますか？

WPCafeプラグインのバージョンが2.2.27以下の場合、影響を受けます。バージョン2.2.28にアップデートしてください。

Q: CVE-2024-37513でWPCafeプラグインを修正するにはどうすればよいですか？

WPCafeプラグインをバージョン2.2.28にアップデートすることで修正できます。アップデートが難しい場合は、WAFルールでアクセス制限を検討してください。

Q: CVE-2024-37513は積極的に悪用されていますか？

現時点では、具体的な悪用事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2024-37513の公式WPCafeアドバイザリはどこで入手できますか？

Themewinterの公式ウェブサイトでアドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

wp-cafe

修正版

2.2.28

AI Confidence: highNVDEPSS 1.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-37513は、Themewinter WPCafe WordPressプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性は、攻撃者が本来アクセスできないファイルを読み出すことを可能にし、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは2.2.27以下ですが、2.2.28へのアップデートで修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性を悪用すると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。例えば、設定ファイルやログファイルから機密情報（データベースの認証情報、APIキーなど）を盗み出すことが考えられます。さらに、攻撃者はこの脆弱性を利用して、Webサイトのコードを改ざんしたり、悪意のあるスクリプトを挿入したりすることも可能です。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

CVE-2024-37513は、2024年7月9日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。公開されたばかりであるため、PoCの公開や攻撃キャンペーンの開始に注意が必要です。

リスク対象者翻訳中…

WordPress websites utilizing the WPCafe plugin, particularly those running older versions (≤2.2.27), are at risk. Shared hosting environments where server file permissions are not tightly controlled are especially vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/wpcafe/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/wpcafe/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list | grep wpcafé

攻撃タイムライン

2024-07-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.23% (79% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwp-cafe

ベンダーThemewinter

影響範囲修正版

0.0.0 – 2.2.272.2.28

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-09
公開日2024-07-09
更新日2024-08-02
EPSS 更新日2026-04-02

公開後-5日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、WPCafeプラグインをバージョン2.2.28にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、WPCafeプラグインがアクセスできるディレクトリを制限するWebアプリケーションファイアウォール（WAF）ルールを実装することを検討してください。また、プラグインのファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも有効です。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないか検証してください。

修正方法翻訳中…

Actualice el plugin WPCafe a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 2.2.27. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-37513 — パス・トラバーサルはWPCafeプラグインで何ですか？