プラットフォーム
wordpress
コンポーネント
makestories-helper
修正版
3.0.4
CVE-2024-38746は、MakeStories (for Google Web Stories)において、パス・トラバーサル(Path Traversal)の脆弱性が確認されています。この脆弱性は、攻撃者がファイルシステムの制限を回避し、本来アクセスできないファイルやリソースにアクセスすることを可能にします。影響を受けるバージョンは、3.0.3以前です。2024年8月1日に公開され、3.0.4へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はMakeStoriesが実行されているサーバー上の機密ファイルにアクセスしたり、サーバーサイドリクエストフォージェリ(SSRF)を実行して、内部ネットワーク上の他のシステムに不正なリクエストを送信したりする可能性があります。これにより、機密情報の漏洩、内部システムの侵害、さらにはサーバーの完全な制御といった深刻な被害が発生する可能性があります。攻撃者は、Web Storiesの作成・編集機能を利用して、悪意のあるリクエストを仕込むことが考えられます。
この脆弱性は、2024年8月1日に公開されており、現時点ではKEV(Known Exploited Vulnerabilities)には登録されていません。EPSS(Exploit Prediction Score System)のスコアは、公開されている情報からは判断できません。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は悪用が容易なため、今後の攻撃の可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に監視し、最新の情報を入手するようにしてください。
Websites utilizing MakeStories for Google Web Stories, particularly those running versions prior to 3.0.4, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites that rely on MakeStories to integrate with internal or external APIs are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/makestories/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/makestories/some-file.php?url=../sensitive-file• wordpress / composer / npm:
wp plugin list --status=active | grep makestoriesdisclosure
エクスプロイト状況
EPSS
0.79% (74% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、MakeStories (for Google Web Stories)をバージョン3.0.4にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、Webサーバーの設定でMakeStoriesのディレクトリへのアクセスを制限する、またはWAF(Web Application Firewall)を使用してSSRF攻撃を検知・防御するなどの対策を講じる必要があります。また、WordPressのセキュリティプラグインを導入し、ファイルシステムのアクセス権限を厳格に管理することも有効です。アップデート後、MakeStoriesの動作を確認し、想定外の挙動がないか検証してください。
Actualice el plugin MakeStories (for Google Web Stories) a una versión posterior a la 3.0.3. Esto solucionará las vulnerabilidades de Path Traversal y Server Side Request Forgery. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-38746は、MakeStories (for Google Web Stories)のバージョン3.0.3以前に存在するパス・トラバーサル脆弱性であり、攻撃者がサーバー上の機密ファイルにアクセスしたり、SSRFを実行したりする可能性があります。
MakeStories (for Google Web Stories)のバージョン3.0.3以前を使用している場合は、影響を受ける可能性があります。サーバー上の機密情報漏洩や内部システムへの不正アクセスにつながる可能性があります。
MakeStories (for Google Web Stories)をバージョン3.0.4にアップデートすることで修正できます。アップデートが困難な場合は、WAFやWebサーバーの設定変更などの対策を講じてください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易なため、今後の攻撃の可能性は否定できません。
MakeStoriesの公式ウェブサイトまたはWordPressのプラグインリポジトリで、CVE-2024-38746に関するアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。