プラットフォーム
wordpress
コンポーネント
wp-timelines
修正版
3.6.8
CVE-2024-47323は、Ex-Themesが開発したWP Timeline – Vertical and Horizontal timelineプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性は、攻撃者が制限されたディレクトリ外のファイルを読み込むことを可能にし、機密情報の漏洩や悪意のあるコードの実行につながる可能性があります。影響を受けるバージョンは3.6.7以前であり、3.6.8へのアップデートで修正されています。
このパス・トラバーサル脆弱性は、攻撃者がWP Timelineプラグインを通じてサーバー上の任意のファイルを読み取ることができることを意味します。攻撃者は、この脆弱性を悪用して、設定ファイル、ソースコード、または機密データを盗む可能性があります。さらに、攻撃者はこの脆弱性を悪用して、PHPファイルインクルージョン攻撃を実行し、悪意のあるコードをサーバー上で実行する可能性があります。これにより、サーバー全体の制御を奪取されるリスクも存在します。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大な問題です。
CVE-2024-47323は、2024年10月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性であるため、悪用コードが公開される可能性があり、注意が必要です。CISAのKEVリストへの登録状況は不明です。攻撃者は、公開されている情報を基に、この脆弱性を悪用する可能性があります。
Websites using the WP Timeline plugin, particularly those running older, unpatched versions (≤3.6.7), are at significant risk. Shared hosting environments are especially vulnerable, as they often lack granular control over file permissions and security configurations. Sites with weak WordPress security practices, such as default user credentials or outdated plugins, are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-timeline/• wordpress / composer / npm:
wp plugin list --status=inactive | grep timeline• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/wp-timeline/ -name '*.php' -print0 | xargs -0 grep -i 'include($_GET['file']);'disclosure
エクスプロイト状況
EPSS
0.65% (71% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずWP Timelineプラグインをバージョン3.6.8にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、一時的な回避策として、ファイルアクセス制限を強化することを検討してください。具体的には、プラグインのファイルアクセス権限を制限し、許可されていないファイルへのアクセスを遮断します。また、WordPressのセキュリティプラグインを使用して、不正なファイルアクセスを監視し、ブロックすることも有効です。WAF(Web Application Firewall)を導入し、ファイルインクルージョン攻撃を検知・防御することも推奨されます。
Actualice el plugin WP Timeline a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes acceder a archivos sensibles del servidor. La actualización corrige esta vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-47323は、WP Timelineプラグインのバージョン3.6.7以前におけるパス・トラバーサル脆弱性であり、攻撃者が制限されたディレクトリ外のファイルを読み込める可能性があります。
WP Timelineプラグインのバージョンが3.6.7以前の場合、CVE-2024-47323の影響を受けます。バージョン3.6.8にアップデートすることで、この脆弱性を修正できます。
WP Timelineプラグインをバージョン3.6.8にアップデートすることで、CVE-2024-47323を修正できます。アップデートがすぐに利用できない場合は、ファイルアクセス制限を強化するなどの回避策を検討してください。
現時点では、CVE-2024-47323を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性であるため、悪用コードが公開される可能性があり、注意が必要です。
WP Timelineプラグインの公式アドバイザリは、Ex-ThemesのウェブサイトまたはWordPressプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。