HIGHCVE-2024-39651CVSS 8.6

WordPress WooCommerce PDF Vouchers プラグイン < 4.9.5 - 認証されていない任意のファイル削除の脆弱性

Q: CVE-2024-39651 — ファイルアクセスの脆弱性 in WooCommerce PDF Vouchersとは何ですか？

CVE-2024-39651は、WooCommerce PDF Vouchersプラグインの4.9.5以前のバージョンにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、本来アクセスできないファイルを操作できる可能性があります。

Q: CVE-2024-39651 in WooCommerce PDF Vouchersに影響されていますか？

WooCommerce PDF Vouchersプラグインのバージョンが4.9.5以前を使用している場合、この脆弱性に影響されています。バージョン4.9.5にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-39651 in WooCommerce PDF Vouchersを修正するにはどうすればよいですか？

この脆弱性を修正するには、WooCommerce PDF Vouchersプラグインをバージョン4.9.5にアップデートしてください。

Q: CVE-2024-39651は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

Q: CVE-2024-39651の公式WooCommerceアドバイザリはどこで入手できますか？

公式アドバイザリは、WPWebのウェブサイトで確認できます。

プラットフォーム

wordpress

コンポーネント

woocommerce-pdf-vouchers

修正版

4.9.5

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-39651は、WPWeb WooCommerce PDF Vouchersプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は本来アクセスできないファイルを操作することが可能になります。影響を受けるバージョンは4.9.5以前です。4.9.5へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がサーバー上の機密ファイルにアクセスし、改ざん、または削除する可能性があります。特に、設定ファイルやデータベースのバックアップファイルなどが危険です。攻撃者は、この脆弱性を悪用して、ウェブサイトの機能を停止させたり、悪意のあるコードを挿入したりすることも考えられます。この脆弱性は、類似のパス・トラバーサル脆弱性と同様に、攻撃者にとって魅力的な標的となる可能性があります。

悪用の状況

このCVEは2024年8月13日に公開されました。現時点では、公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Websites utilizing WooCommerce PDF Vouchers plugin versions prior to 4.9.5 are at risk. This includes e-commerce sites selling digital products and those relying on the plugin for voucher management. Shared hosting environments are particularly vulnerable due to the potential for cross-site contamination.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/woocommerce-pdf-vouchers/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/woocommerce-pdf-vouchers/includes/some-file..\/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive woocommerce-pdf-vouchers

攻撃タイムライン

2024-08-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.31% (54% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwoocommerce-pdf-vouchers

ベンダーWPWeb

影響範囲修正版

0.0.0 – 4.9.44.9.5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-26
公開日2024-08-13
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、WooCommerce PDF Vouchersプラグインをバージョン4.9.5にアップデートすることです。アップデートがすぐに利用できない場合、ファイルアクセス権限を厳しく制限し、ウェブサーバーの設定でファイルアクセスを制限するルールを追加することを検討してください。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。

修正方法翻訳中…

Actualice el plugin WooCommerce PDF Vouchers a la versión 4.9.5 o superior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos. Para actualizar, vaya a la sección de plugins en su panel de administración de WordPress y busque la actualización disponible.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-39651 — ファイルアクセスの脆弱性 in WooCommerce PDF Vouchersとは何ですか？