プラットフォーム
wordpress
コンポーネント
embedpress
修正版
4.0.10
CVE-2024-43328は、WPDeveloperのEmbedPress WordPressプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性は、攻撃者が制限されたディレクトリ外のファイルを読み取ることができるため、機密情報の漏洩や悪意のあるコードの実行につながる可能性があります。影響を受けるバージョンは、4.0.9以前です。開発者はバージョン4.0.10で修正を提供しており、ユーザーは速やかにアップデートすることを推奨します。
この脆弱性は、攻撃者がEmbedPressプラグインを通じてサーバー上の機密ファイルにアクセスすることを可能にします。例えば、設定ファイル、データベース接続情報、または他のアプリケーションのソースコードが含まれている可能性があります。攻撃者は、これらのファイルを読み取ることで、システムに関する重要な情報を得たり、さらなる攻撃の足がかりにしたりする可能性があります。ローカルファイルインクルージョン(LFI)の脆弱性であるため、攻撃者はプラグインの実行コンテキストで任意のコードを実行できる可能性があります。これにより、サーバー全体の制御を奪われるリスクも存在します。
この脆弱性は、2024年8月19日に公開されました。現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、今後エクスプロイトコードが公開される可能性があります。CISA KEVカタログへの登録状況は確認されていません。攻撃者は、この脆弱性を利用して、WordPressサイトの機密情報を盗み出したり、悪意のあるコードを実行したりする可能性があります。
Websites utilizing the EmbedPress plugin, particularly those running older versions (≤4.0.9), are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable, as are sites with misconfigured PHP environments that allow for arbitrary file inclusion.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/embedpress/• wordpress / composer / npm:
wp plugin list --status=active | grep embedpress• wordpress / composer / npm:
wp plugin update embedpress --alldisclosure
エクスプロイト状況
EPSS
1.18% (79% パーセンタイル)
CISA SSVC
CVSS ベクトル
最も効果的な対策は、EmbedPressプラグインをバージョン4.0.10にアップデートすることです。アップデートがすぐに利用できない場合、WordPressの.htaccessファイルを使用して、EmbedPressプラグインのディレクトリへの直接アクセスを制限するルールを追加することができます。また、WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・ブロックするルールを設定することも有効です。プラグインのファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも重要です。
Actualiza el plugin EmbedPress a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 4.0.9. Para actualizar, ve al panel de administración de WordPress, luego a la sección de 'Plugins' y busca 'EmbedPress'. Haz clic en 'Actualizar' si hay una versión más reciente disponible.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-43328は、EmbedPress WordPressプラグインのバージョン4.0.9以前におけるパス・トラバーサル脆弱性であり、攻撃者が制限されたディレクトリ外のファイルを読み取れる可能性があります。
EmbedPressプラグインのバージョンが4.0.10より前である場合、この脆弱性の影響を受けます。バージョン4.0.10にアップデートしてください。
EmbedPressプラグインをバージョン4.0.10にアップデートしてください。アップデートが利用できない場合は、.htaccessファイルでアクセス制限を設けるなどの対策を講じてください。
現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、今後悪用される可能性があります。
WPDeveloperのウェブサイトまたはWordPressプラグインリポジトリで最新のアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。