WordPress Global Gateway e4 プラグイン <= 2.0 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。例えば、設定ファイル、ログファイル、ソースコードなどが盗読されるリスクがあります。攻撃者は、この脆弱性を利用して、機密情報を取得し、システムを不正に操作したり、さらなる攻撃の足がかりにしたりする可能性があります。この脆弱性は、ファイルシステム全体へのアクセスを許可する可能性があるため、影響範囲は広範に及ぶ可能性があります。

WordPress websites utilizing the Global Gateway e4 | Payeezy Gateway plugin, particularly those running versions 2.0 or earlier, are at significant risk. Shared hosting environments where file permissions are not strictly controlled are also more vulnerable, as an attacker could potentially leverage this vulnerability to access files belonging to other users on the same server.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/global-gateway-e4-payeezy-gateway/

• generic web:

curl -I 'https://your-website.com/../../../../etc/passwd' # Check for file disclosure

1. 2024-11-14Disclosure

   disclosure

1. 予約済み2024-11-11
2. 公開日2024-11-14
3. 更新日2024-11-15
4. EPSS 更新日2026-04-02

まず、Global Gateway e4 | Payeezy Gatewayをバージョン2.0.1にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、パス・トラバーサル攻撃を検知・防御するルールを適用してください。また、ファイルアクセス権限を厳格に制限し、不要なファイルへのアクセスを遮断することも有効です。アップデート後、アクセスログを監視し、不正なファイルアクセスがないか確認してください。