HIGHCVE-2024-43221CVSS 8.5

WordPress JetGridBuilder プラグイン <= 1.1.2 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-43221 — パストラバーサルはCrocoblock JetGridBuilderで何ですか？

CVE-2024-43221は、Crocoblock JetGridBuilderのパス制限不備によりPHPローカルファイルインクルージョンが発生する脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密ファイルにアクセスする可能性があります。

Q: CVE-2024-43221はCrocoblock JetGridBuilderで影響を受けますか？

はい、Crocoblock JetGridBuilderのバージョンn/aから1.1.2までのバージョンが影響を受けます。

Q: CVE-2024-43221はCrocoblock JetGridBuilderでどのように修正しますか？

Crocoblock JetGridBuilderをバージョン1.1.3にアップデートすることで修正できます。

Q: CVE-2024-43221は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、LFI脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2024-43221のCrocoblock JetGridBuilderの公式アドバイザリはどこで入手できますか？

Crocoblockの公式ウェブサイトまたはセキュリティアドバイザリページで確認できます。

プラットフォーム

wordpress

コンポーネント

jetgridbuilder

修正版

1.1.3

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-43221は、Crocoblock JetGridBuilderにおいて、パス制限の不備が原因でPHPローカルファイルインクルージョン（LFI）が発生する脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスし、システムを制御する可能性があります。影響を受けるバージョンはJetGridBuilderのn/aから1.1.2までのバージョンです。Crocoblockはバージョン1.1.3でこの脆弱性を修正しました。

影響と攻撃シナリオ

この脆弱性は、攻撃者がJetGridBuilderを通じてサーバー上の任意のファイルを読み取れることを意味します。攻撃者は、この脆弱性を悪用して、設定ファイル、データベースファイル、ソースコードなどの機密情報を盗む可能性があります。さらに、攻撃者はこの脆弱性を利用して、悪意のあるコードを実行し、システムを完全に制御する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。類似のLFI脆弱性は、過去に多くのWebアプリケーションで発見されており、攻撃者はこれらの脆弱性を悪用して、機密情報を盗み、システムを破壊する可能性があります。

悪用の状況

CVE-2024-43221は、2024年8月19日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、LFI脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISAのKEVリストへの登録状況は確認されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

WordPress websites utilizing the Crocoblock JetGridBuilder plugin, particularly those running versions prior to 1.1.3, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/jetgridbuilder/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/jetgridbuilder/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-08-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.70% (72% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjetgridbuilder

ベンダーCrocoblock

影響範囲修正版

0.0.0 – 1.1.21.1.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-08-09
公開日2024-08-19
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、JetGridBuilderをバージョン1.1.3にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、WordPressのファイルパーミッションを適切に設定し、JetGridBuilderのディレクトリへのアクセスを制限することができます。また、Webアプリケーションファイアウォール（WAF）を使用して、LFI攻撃を検出し、ブロックすることも有効です。WAFのルールを調整し、不審なファイルアクセスを監視することで、攻撃を早期に発見し、被害を最小限に抑えることができます。

修正方法翻訳中…

Actualice el plugin JetGridBuilder a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 1.1.2. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-43221 — パストラバーサルはCrocoblock JetGridBuilderで何ですか？