HIGHCVE-2024-49249CVSS 8.1

SMSA Shipping <= 2.3 - 認証済み (購読者+) による任意のファイル削除

Q: CVE-2024-49249 — 任意ファイルアクセス in SMSA Shippingとは何ですか？

CVE-2024-49249は、SMSA Shipping WordPressプラグインのバージョン2.3以下において、不十分なファイルパス検証により発生する任意ファイル削除の脆弱性です。

Q: CVE-2024-49249 in SMSA Shippingに影響を受けますか？

SMSA Shippingプラグインのバージョン2.3以下を使用している場合は、影響を受けます。バージョン2.4にアップデートしてください。

Q: CVE-2024-49249 in SMSA Shippingを修正するにはどうすればよいですか？

SMSA Shippingプラグインをバージョン2.4にアップデートしてください。アップデートできない場合は、WAFを使用して悪意のあるリクエストをブロックすることを検討してください。

Q: CVE-2024-49249は積極的に悪用されていますか？

現時点では、このCVEに対する公開されたPoCは確認されていませんが、潜在的なリスクは存在します。

Q: CVE-2024-49249に関するSMSA Shippingの公式アドバイザリはどこで入手できますか？

SMSA Shippingの公式アドバイザリは、プラグインのアップデート情報をご確認ください。

プラットフォーム

wordpress

コンポーネント

smsa-shipping-official

修正版

2.3.1

2.4

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

SMSA Shipping (公式) WordPressプラグインに、任意ファイル削除の脆弱性が存在します。この脆弱性は、認証された攻撃者がSubscriber以上の権限を持つ場合、サーバー上の任意のファイルを削除することを可能にします。影響を受けるバージョンは2.3以下です。バージョン2.4でこの問題が修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はサーバー上の重要なファイルを削除し、システムの完全性を損なう可能性があります。特に、wp-config.phpのような設定ファイルを削除することで、リモートコード実行（RCE）につながるリスクがあります。攻撃者は、削除されたファイルによって引き起こされるエラーを利用して、システムへのさらなるアクセスを試みる可能性があります。この脆弱性は、WordPressサイト全体のセキュリティに重大な影響を与える可能性があります。

悪用の状況

この脆弱性は、認証された攻撃者が必要なため、広範囲な攻撃キャンペーンで積極的に悪用される可能性は低いと考えられます。しかし、WordPressサイトの管理者がセキュリティ対策を怠っている場合、攻撃者はこの脆弱性を利用してシステムに侵入する可能性があります。現時点では、このCVEに対する公開されたPoCは確認されていません。CISAのKEVリストへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites using the SMSA Shipping plugin, particularly those with Subscriber-level users who have access to file management functionalities, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

wp plugin list | grep smsa-shipping

• wordpress / composer / npm:

wp plugin update smsa-shipping --version=2.4

• wordpress / composer / npm:

grep -r 'delete_file' /var/www/html/wp-content/plugins/smsa-shipping/*

• generic web: Check WordPress plugin directory for mentions of the vulnerability and potential exploit attempts.

攻撃タイムライン

2026-01-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.17% (38% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントsmsa-shipping-official

ベンダーwordfence

影響範囲修正版

0.0.0 – 2.32.3.1

2.32.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-10-14
公開日2026-01-06
更新日2026-04-24
EPSS 更新日2026-04-02

緩和策と回避策

SMSA Shippingプラグインをバージョン2.4にアップデートすることが最も効果的な対策です。アップデートできない場合は、ファイルパスの検証を強化するカスタムコードを実装するか、WAF（Web Application Firewall）を使用して、悪意のあるファイル削除リクエストをブロックすることを検討してください。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルの書き込み権限を制限することも重要です。プラグインのアップデート後、wp-config.phpなどの重要なファイルが正常に存在し、アクセス可能であることを確認してください。

修正方法

バージョン 2.4 以上、または最新の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-49249 — 任意ファイルアクセス in SMSA Shippingとは何ですか？

CVE-2024-49249は、SMSA Shipping WordPressプラグインのバージョン2.3以下において、不十分なファイルパス検証により発生する任意ファイル削除の脆弱性です。

CVE-2024-49249 in SMSA Shippingに影響を受けますか？

SMSA Shippingプラグインのバージョン2.3以下を使用している場合は、影響を受けます。バージョン2.4にアップデートしてください。

CVE-2024-49249 in SMSA Shippingを修正するにはどうすればよいですか？

SMSA Shippingプラグインをバージョン2.4にアップデートしてください。アップデートできない場合は、WAFを使用して悪意のあるリクエストをブロックすることを検討してください。

CVE-2024-49249は積極的に悪用されていますか？

現時点では、このCVEに対する公開されたPoCは確認されていませんが、潜在的なリスクは存在します。

CVE-2024-49249に関するSMSA Shippingの公式アドバイザリはどこで入手できますか？

SMSA Shippingの公式アドバイザリは、プラグインのアップデート情報をご確認ください。

SMSA Shipping <= 2.3 - 認証済み (購読者+) による任意のファイル削除

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2024-49249 — 任意ファイルアクセス in SMSA Shippingとは何ですか？

CVE-2024-49249 in SMSA Shippingに影響を受けますか？

CVE-2024-49249 in SMSA Shippingを修正するにはどうすればよいですか？

CVE-2024-49249は積極的に悪用されていますか？

CVE-2024-49249に関するSMSA Shippingの公式アドバイザリはどこで入手できますか？

パッケージ情報

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認