HIGHCVE-2024-44013CVSS 7.5

WordPress VR Calendar プラグイン <= 2.4.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-44013 — パス・トラバーサル脆弱性 in VR Calendarとは何ですか？

CVE-2024-44013は、VR Calendar (≤2.4.0)におけるパス・トラバーサル脆弱性で、攻撃者が本来アクセスできないファイルを読み出すことを可能にします。

Q: CVE-2024-44013 in VR Calendarに影響を受けますか？

VR Calendarのバージョンが2.4.0以前を使用している場合は、影響を受けます。

Q: CVE-2024-44013 in VR Calendarを修正するにはどうすればよいですか？

VR Calendarをバージョン2.4.1にアップデートしてください。

Q: CVE-2024-44013は積極的に悪用されていますか？

現時点では、具体的な悪用事例は報告されていませんが、注意が必要です。

Q: CVE-2024-44013に関するVR Calendarの公式アドバイザリはどこで入手できますか？

Innate Images LLCのWebサイトで確認してください。

プラットフォーム

wordpress

コンポーネント

vr-calendar-sync

修正版

2.4.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-44013は、Innate Images LLCのVR Calendarにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が本来アクセスできないファイルを読み込むことを可能にし、機密情報の漏洩やシステムの不正操作につながる可能性があります。影響を受けるバージョンはVR Calendarの2.4.0以前です。2.4.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はVR CalendarがインストールされているPHP環境上で任意のファイルを読み出すことが可能になります。これにより、設定ファイル、ソースコード、データベース情報など、機密性の高い情報が漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、Webサーバー上で任意のコードを実行したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。特に、VR CalendarがWebサーバーのルートディレクトリにインストールされている場合、攻撃の影響範囲は広がる可能性があります。

悪用の状況

CVE-2024-44013は、2024年10月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、注意が必要です。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Websites utilizing the VR Calendar plugin, particularly those running older versions (≤2.4.0), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. WordPress sites with weak file permission settings or inadequate input validation are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/vr-calendar/*

• wordpress / composer / npm:

wp plugin list --status=active | grep vr-calendar

• wordpress / composer / npm:

wp plugin update vr-calendar --all

攻撃タイムライン

2024-10-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.30% (53% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントvr-calendar-sync

ベンダーInnate Images LLC

影響範囲修正版

0.0.0 – 2.4.02.4.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-08-18
公開日2024-10-05
更新日2024-10-07
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応として、まずVR Calendarをバージョン2.4.1にアップデートすることを推奨します。アップデートが困難な場合は、Webサーバーの設定でVR Calendarのディレクトリへのアクセスを制限するなどの対策を講じる必要があります。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。ファイルアクセスログを監視し、不審なアクセスがないか定期的に確認することも重要です。アップデート後、VR Calendarの動作を確認し、問題がないことを確認してください。

修正方法翻訳中…

Actualice el plugin VR Calendar a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles en el servidor. La actualización corrige esta vulnerabilidad.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-44013 — パス・トラバーサル脆弱性 in VR Calendarとは何ですか？

CVE-2024-44013は、VR Calendar (≤2.4.0)におけるパス・トラバーサル脆弱性で、攻撃者が本来アクセスできないファイルを読み出すことを可能にします。

CVE-2024-44013 in VR Calendarに影響を受けますか？

VR Calendarのバージョンが2.4.0以前を使用している場合は、影響を受けます。

CVE-2024-44013 in VR Calendarを修正するにはどうすればよいですか？

VR Calendarをバージョン2.4.1にアップデートしてください。

CVE-2024-44013は積極的に悪用されていますか？

現時点では、具体的な悪用事例は報告されていませんが、注意が必要です。

CVE-2024-44013に関するVR Calendarの公式アドバイザリはどこで入手できますか？

Innate Images LLCのWebサイトで確認してください。

WordPress VR Calendar プラグイン <= 2.4.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法翻訳中…

CVEセキュリティニュースレター

よくある質問

CVE-2024-44013 — パス・トラバーサル脆弱性 in VR Calendarとは何ですか？

CVE-2024-44013 in VR Calendarに影響を受けますか？

CVE-2024-44013 in VR Calendarを修正するにはどうすればよいですか？

CVE-2024-44013は積極的に悪用されていますか？

CVE-2024-44013に関するVR Calendarの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認