HIGHCVE-2024-37932CVSS 8.6

WordPress Woocommerce OpenPos プラグイン <= 6.4.4 - 認証なしでの任意のファイル削除の脆弱性

Q: CVE-2024-37932 — ファイルアクセスの脆弱性 in Woocommerce OpenPosとは何ですか？

CVE-2024-37932は、Woocommerce OpenPosのバージョン6.4.4以前におけるパス・トラバーサル脆弱性で、攻撃者が任意のファイルを操作できる可能性があります。

Q: CVE-2024-37932 in Woocommerce OpenPosに影響を受けますか？

Woocommerce OpenPosのバージョンが6.4.4以前の場合は、影響を受けます。6.4.5にアップデートしてください。

Q: CVE-2024-37932 in Woocommerce OpenPosを修正するにはどうすればよいですか？

Woocommerce OpenPosをバージョン6.4.5以降にアップデートしてください。

Q: CVE-2024-37932は積極的に悪用されていますか？

現時点では公的なエクスプロイトコードは確認されていませんが、悪用される可能性はあります。

Q: CVE-2024-37932に関するWoocommerce OpenPosの公式アドバイザリはどこで入手できますか？

Woocommerceのセキュリティアドバイザリをご確認ください。

プラットフォーム

wordpress

コンポーネント

woocommerce-openpos

修正版

6.4.5

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-37932は、Woocommerce OpenPosにおけるパス・トラバーサル（ディレクトリ・トラバーサル）の脆弱性です。この脆弱性は、攻撃者が本来アクセスできないファイルを操作することを可能にします。Woocommerce OpenPosのバージョン6.4.4以前が影響を受け、6.4.5へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスしたり、改ざんしたりする可能性があります。例えば、設定ファイルやログファイルの内容を盗み出し、システムの設定を不正に変更したり、悪意のあるコードを実行したりすることが考えられます。特に、データベースの接続情報やAPIキーなどの重要な情報が漏洩した場合、深刻な被害につながる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの改ざんや不正な情報収集を行うことも可能です。

悪用の状況

CVE-2024-37932は、2024年7月12日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、パス・トラバーサル脆弱性は比較的悪用が容易であるため、早期の悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Websites utilizing Woocommerce OpenPos plugin, particularly those running older versions (≤6.4.4), are at risk. Shared hosting environments where file system permissions are not tightly controlled are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users on the same server.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/woocommerce-openpos/*

• generic web:

curl -I https://your-website.com/wp-content/plugins/woocommerce-openpos/../../../../etc/passwd  # Check for path traversal

攻撃タイムライン

2024-07-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.42% (62% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwoocommerce-openpos

ベンダーanhvnit

影響範囲修正版

0.0.0 – 6.4.46.4.5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-10
公開日2024-07-12
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

Woocommerce OpenPosのバージョンを6.4.5以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することを推奨します。また、ファイルアクセス権限を適切に設定し、不要なファイルの公開を避けることも重要です。ファイルアクセスログを監視し、不正なアクセスがないか定期的に確認することも有効です。

修正方法翻訳中…

Actualice el plugin Woocommerce OpenPos a una versión posterior a la 6.4.4. Esto solucionará la vulnerabilidad de eliminación arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-37932 — ファイルアクセスの脆弱性 in Woocommerce OpenPosとは何ですか？