WordPress ListingPro プラグイン <= 2.9.3 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイルやデータベースのバックアップファイルなど、機密情報を含むファイルを読み出すことが可能です。攻撃者は、この脆弱性を利用して、Webサイトのコードを改ざんしたり、悪意のあるスクリプトを実行したりすることも考えられます。また、この脆弱性は、サーバー全体のセキュリティを脅かす可能性があり、深刻な影響をもたらす可能性があります。類似のPath Traversal脆弱性は、Webサーバーの機密情報漏洩やシステム制御への乗っ取りに繋がる事例が報告されています。

WordPress sites utilizing the ListingPro plugin, particularly those running versions prior to 2.9.4, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited access controls and a higher concentration of vulnerable plugins. Sites with sensitive data or those used for e-commerce are also at higher risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/listingpro/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/listingpro/../../../../etc/passwd' # Check for file disclosure

1. 2024-08-01Disclosure

   disclosure

1. 予約済み2024-06-26
2. 公開日2024-08-01
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

まず、ListingProプラグインをバージョン2.9.4にアップデートすることが最も効果的な対策です。アップデートが直ちに困難な場合は、WordPressの.htaccessファイルにアクセス制限ルールを追加することで、攻撃を軽減できます。例えば、特定のディレクトリへのアクセスを制限するルールを追加します。また、WAF（Web Application Firewall）を導入し、Path Traversal攻撃を検知・防御するルールを設定することも有効です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。