プラットフォーム
wordpress
コンポーネント
event-post
修正版
5.9.6
CVE-2024-38735は、N.O.U.S. Event postにおいて、パスの制限が不十分なために発生するファイルインクルージョン脆弱性です。攻撃者はこの脆弱性を悪用し、ローカルファイルを読み出すことが可能となり、機密情報の漏洩やシステムの改ざんにつながる可能性があります。この脆弱性は、N.O.U.S. Event postのバージョン5.9.5以下に影響を与えます。バージョン5.9.6へのアップデートで修正されています。
この脆弱性は、攻撃者がサーバー上の任意のファイルを読み出すことを可能にします。特に、設定ファイルやデータベースのバックアップファイルなどが標的となる可能性があります。攻撃者は、読み出した機密情報を外部に漏洩させたり、それを利用してシステムを改ざんしたりする可能性があります。この脆弱性は、WordPress環境全体に影響を及ぼす可能性があり、特にEvent postプラグインを導入しているサイトは注意が必要です。類似の脆弱性として、ファイルインクルージョン攻撃による情報漏洩や不正アクセス事例が報告されています。
この脆弱性は、2024年7月12日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)には登録されていません。公的なPoC(Proof of Concept)は確認されていませんが、ファイルインクルージョン脆弱性であるため、悪用コードが公開される可能性はあります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を収集することが重要です。
WordPress websites utilizing the N.O.U.S. Event post plugin, particularly those running versions prior to 5.9.6, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server file permissions and configurations. Sites with weak security practices or outdated plugins are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/event-post/*• generic web:
curl -I "http://your-wordpress-site.com/wp-content/plugins/event-post/../../../../etc/passwd"• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin update event-postdisclosure
エクスプロイト状況
EPSS
2.21% (84% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、N.O.U.S. Event postをバージョン5.9.6にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ファイルインクルージョン攻撃を防御するためのWAF(Web Application Firewall)のルールを導入することを検討してください。また、Event postの設定を見直し、不要なファイルへのアクセスを制限することも有効です。WordPressのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないようにすることも重要です。アップデート後、Event postの動作を確認し、問題がないことを確認してください。
Actualice el plugin Event post a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se soluciona en versiones posteriores a la 5.9.5. Consulte la documentación del plugin para obtener instrucciones detalladas sobre cómo actualizar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-38735は、N.O.U.S. Event postのバージョン5.9.5以下で、パスの制限が不十分なために発生するファイルインクルージョン脆弱性です。攻撃者はこの脆弱性を悪用し、ローカルファイルを読み出すことが可能となります。
N.O.U.S. Event postのバージョンが5.9.5以下の場合、この脆弱性の影響を受けています。バージョン5.9.6へのアップデートが必要です。
N.O.U.S. Event postをバージョン5.9.6にアップデートすることで修正できます。アップデートが困難な場合は、WAFのルールを導入するなど、代替の対策を検討してください。
現時点では、公的なPoCは確認されていませんが、ファイルインクルージョン脆弱性であるため、悪用コードが公開される可能性はあります。最新の情報を常に確認してください。
N.O.U.S. Event postの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。