WordPress MaxSlider プラグイン <= 1.2.3 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

このPath Traversal脆弱性は、攻撃者がWebサーバーのファイルシステムを自由に閲覧・操作することを可能にします。例えば、Webサイトのソースコード、設定ファイル、データベースのバックアップファイルなどが漏洩する可能性があります。さらに、攻撃者はWebサーバー上で任意のコードを実行し、Webサイトを改ざんしたり、他のシステムへの攻撃の踏み台にしたりすることも考えられます。この脆弱性は、Webアプリケーションの機密性、完全性、可用性を脅かす重大なリスクとなります。

WordPress websites utilizing the MaxSlider plugin, particularly those running older versions (≤1.2.3), are at risk. Shared hosting environments where users have limited control over server configurations are especially vulnerable, as they may be less able to implement workarounds or monitor for suspicious activity. Sites with sensitive data stored on the same server are also at heightened risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/maxslider/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/maxslider/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive | grep maxslider

• wordpress / composer / npm:

wp plugin update maxslider

1. 2024-10-16Disclosure

   disclosure

1. 予約済み2024-09-24
2. 公開日2024-10-16
3. EPSS 更新日2026-04-02

MaxSliderプラグインのバージョンを1.2.4以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定でアクセス制限を強化し、プラグインのディレクトリへの外部からのアクセスを遮断することを検討してください。また、WAF（Web Application Firewall）を導入し、Path Traversal攻撃を検知・防御するルールを設定することも有効です。プラグインのディレクトリのアクセス権を適切に設定し、不要なファイルやディレクトリへのアクセスを制限することも重要です。アップデート後、ファイルシステムへの不正なアクセスがないか、ログを監視し、確認してください。