WordPress PDF-Rechnungsverwaltung プラグイン <= 0.0.1 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性を悪用されると、攻撃者はPDF-Rechnungsverwaltungがインストールされているサーバー上の任意のファイルにアクセスできる可能性があります。これにより、機密情報（設定ファイル、ソースコードなど）が漏洩したり、悪意のあるコードが実行されたりするリスクがあります。特に、WordPress環境でPDF-Rechnungsverwaltungを使用している場合、他のプラグインやテーマのセキュリティにも影響を及ぼす可能性があります。攻撃者は、この脆弱性を利用して、サーバー全体の制御を奪取する可能性も否定できません。

WordPress websites utilizing the PDF-Rechnungsverwaltung plugin, particularly those running versions prior to 0.0.2, are at risk. Shared hosting environments where users have limited control over plugin configurations are especially vulnerable, as are systems with weak file access permissions.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/pdf-rechnungsverwaltung/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/pdf-rechnungsverwaltung/../../../../etc/passwd' # Attempt to access sensitive files

1. 2024-10-17Disclosure

   disclosure

1. 予約済み2024-10-14
2. 公開日2024-10-17
3. EPSS 更新日2026-04-02

この脆弱性への対応として、まずPDF-Rechnungsverwaltungをバージョン0.0.2にアップデートすることを推奨します。アップデートが困難な場合は、WordPressの.htaccessファイルに以下のルールを追加することで、脆弱なパスへのアクセスを制限できます。また、WAF（Web Application Firewall）を導入し、ファイルインクルージョンの試みを検知・遮断することも有効です。アップデート後、PDF-Rechnungsverwaltungのログを確認し、不正なアクセスがないか確認してください。

アクティブインストール数

0

プラグイン評価

0.0

WordPressが必要

4.7+

動作確認済みバージョン

5.4.19

PHPが必要

7.0+