WordPress EKC Tournament Manager プラグイン <= 2.2.1 - CSRFによる任意のファイルアップロードの脆弱性

このCSRF脆弱性は、攻撃者が認証されたユーザーとして任意の操作を実行することを可能にします。具体的には、攻撃者は悪意のあるWebシェルをアップロードし、サーバー上で任意のコードを実行できます。これにより、機密情報の窃取、データの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、認証済みのユーザーを騙して、Webシェルをアップロードするリクエストを送信することで、この脆弱性を悪用できます。この脆弱性は、Webサーバーのセキュリティを完全に侵害する可能性があり、重大なリスクをもたらします。

Websites utilizing EKC Tournament Manager, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with outdated plugin versions and those lacking robust input validation are especially vulnerable.

• wordpress / composer / npm:

grep -r 'EKC Tournament Manager' /var/www/html/
wp plugin list

• generic web:

curl -I https://your-website.com/wp-content/plugins/ekc-tournament-manager/

1. 2024-10-31Disclosure

   disclosure

1. 予約済み2024-10-17
2. 公開日2024-10-31
3. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずEKC Tournament Managerをバージョン2.2.2にアップデートすることを推奨します。アップデートが利用できない場合、一時的な回避策として、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、CSRF攻撃を検知・防御するルールを適用することを検討してください。また、入力検証を強化し、信頼できないソースからのリクエストを適切に処理することで、攻撃のリスクを軽減できます。アップデート後、CSRFトークンが正しく機能していることを確認し、Webシェルがアップロードされないことを検証してください。

アクティブインストール数

20ニッチ

プラグイン評価

0.0

WordPressが必要

6.0+

動作確認済みバージョン

6.9.4