WordPress Booking Ultra Pro Appointments Booking Calendar プラグイン <= 1.1.13 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性は、攻撃者がBooking Ultra Pro Appointmentsのインストールディレクトリ外のファイルにアクセスすることを可能にします。攻撃者は、この脆弱性を利用して、サーバー上の機密情報（設定ファイル、データベース接続情報、ソースコードなど）を盗み出す可能性があります。さらに、攻撃者はこの脆弱性を踏み台にして、サーバー内の他のシステムへの攻撃を試みることも考えられます。この脆弱性は、Webサーバー全体に影響を及ぼす可能性があり、深刻な被害をもたらす可能性があります。

WordPress websites utilizing the Booking Ultra Pro Appointments plugin, particularly those running versions prior to 1.1.14, are at risk. Shared hosting environments where WordPress installations have limited control over file permissions are especially vulnerable. Sites with weak server configurations or inadequate WAF protection are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/booking-ultra-pro-appointments/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/booking-ultra-pro-appointments/../../../../etc/passwd' # Check for file disclosure

1. 2024-07-12Disclosure

   disclosure

1. 予約済み2024-06-19
2. 公開日2024-07-12
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずBooking Ultra Pro Appointmentsをバージョン1.1.14にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を使用して、LFI攻撃を検知・防御するルールを実装してください。また、ファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも有効です。WAFルール例として、ファイルパスに../のようなディレクトリトラバーサルシーケンスが含まれるリクエストをブロックするルールを検討してください。

アクティブインストール数

400ニッチ

プラグイン評価

3.9

WordPressが必要

4.0+

動作確認済みバージョン

6.8.5