HIGHCVE-2024-52378CVSS 7.5

WordPress DigiPass プラグイン <= 0.3.0 - 任意のファイルダウンロードの脆弱性

Q: CVE-2024-52378 — パス・トラバーサル脆弱性とはDigiPassプラグインで何ですか？

CVE-2024-52378は、DigiPass WordPressプラグインのバージョン0.3.0以前に存在するパス・トラバーサル脆弱性で、攻撃者が制限されたディレクトリ外のファイルにアクセスできる可能性があります。

Q: CVE-2024-52378 — DigiPassプラグインで影響は受けますか？

DigiPass WordPressプラグインのバージョン0.3.0以前を使用している場合は、この脆弱性の影響を受けます。バージョン0.3.1にアップデートしてください。

Q: CVE-2024-52378 — DigiPassプラグインを修正するにはどうすればよいですか？

DigiPass WordPressプラグインをバージョン0.3.1にアップデートすることで、この脆弱性を修正できます。WordPressの管理画面からアップデートを実行するか、wp-cliコマンドを使用してください。

Q: CVE-2024-52378 — この脆弱性は積極的に悪用されていますか？

現時点では、公的なエクスプロイトコードは確認されていませんが、パス・トラバーサル脆弱性は比較的簡単に悪用できるため、攻撃者による悪用が懸念されます。

Q: CVE-2024-52378 — DigiPassの公式アドバイザリはどこで入手できますか？

Labs64の公式アドバイザリは、Labs64のWebサイトで確認できます。

プラットフォーム

wordpress

コンポーネント

digipass

修正版

0.3.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-52378は、Labs64 DigiPass WordPressプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は制限されたディレクトリ外のファイルにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンは、0.3.0以前です。Labs64はバージョン0.3.1でこの脆弱性を修正しました。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がDigiPassプラグインを通じてサーバー上の任意のファイルにアクセスすることを可能にします。攻撃者は、Webサーバーのルートディレクトリや、データベースの構成ファイルなど、機密情報を含むファイルを読み取ることができます。これにより、認証情報の漏洩、Webサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、ファイル名に「../」のようなパス・トラバーサルシーケンスを挿入することで、意図しないディレクトリにアクセスを試みます。

悪用の状況

この脆弱性は、2024年11月14日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、パス・トラバーサル脆弱性は比較的簡単に悪用できるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the DigiPass plugin, particularly those running versions prior to 0.3.0, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially expose files on other sites.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/digipass/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/digipass/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-11-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.22% (44% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdigipass

ベンダーLabs64

影響範囲修正版

0.0.0 – 0.3.00.3.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-11-11
公開日2024-11-14
更新日2024-11-18
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、DigiPassプラグインをバージョン0.3.1にアップデートすることです。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃を検出し、ブロックすることができます。WAFのルールには、「../」のようなシーケンスを含むリクエストをブロックするルールを追加することが有効です。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないディレクトリへのアクセスを制限することも重要です。アップデート後、プラグインの動作を確認し、想定外の動作がないか検証してください。

修正方法翻訳中…

Actualice el plugin DigiPass a una versión posterior a la 0.3.0. Esto solucionará la vulnerabilidad de descarga arbitraria de archivos. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-52378 — パス・トラバーサル脆弱性とはDigiPassプラグインで何ですか？