WordPress Instant Chat WP プラグイン <= 1.0.5 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能になります。これにより、設定ファイル、ソースコード、機密データなどが漏洩するリスクがあります。さらに、ローカルファイルインクルージョンを悪用して、悪意のあるコードを実行し、システムを完全に制御される可能性も否定できません。WordPressサイトのセキュリティが侵害されると、顧客情報や個人情報が漏洩し、企業の信頼を大きく損なう可能性があります。この脆弱性は、類似のファイルインクルージョン攻撃と同様に、WordPressサイトのセキュリティを脅かす重大なリスクとなります。

WordPress websites utilizing the Instant Chat Floating Button plugin, particularly those running older versions (≤1.0.5), are at risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher density of potential targets.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/instant-chat-floating-button/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/instant-chat-floating-button/?file=../../../../etc/passwd' # Check for file disclosure

1. 2024-10-05Disclosure

   disclosure

1. 予約済み2024-08-18
2. 公開日2024-10-05
3. 更新日2024-10-07
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Instant Chat Floating Button for WordPress Websitesをバージョン1.0.6にアップデートすることです。アップデートがすぐに利用できない場合、WordPressのファイルパーミッションを適切に設定し、ウェブサーバーがアクセスできないディレクトリへのアクセスを制限することで、攻撃のリスクを軽減できます。また、WAF（Web Application Firewall）を導入し、ファイルインクルージョン攻撃のパターンを検知・防御するルールを設定することも有効です。ファイルアクセスログを監視し、不審なアクセスがないか定期的に確認することも重要です。アップデート後、ウェブサイトの機能が正常に動作することを確認してください。