WordPress Opal Woo Custom Product Variation プラグイン <= 1.1.3 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性は、攻撃者がウェブサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイル、ログファイル、または他の機密情報を含むファイルが読み取られる可能性があります。攻撃者は、この脆弱性を利用して、ウェブサイトの機密情報を盗み出し、さらなる攻撃に利用する可能性があります。この脆弱性は、ウェブサイトのセキュリティを著しく損なう可能性があります。

WordPress websites utilizing the Opal Woo Custom Product Variation plugin, particularly those hosting sensitive data or running older, unpatched versions (≤1.1.3), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/opal-woo-custom-product-variation/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/opal-woo-custom-product-variation/../../../../etc/passwd' # Attempt path traversal

1. 2024-11-20Disclosure

   disclosure

1. 予約済み2024-11-11
2. 公開日2024-11-20
3. EPSS 更新日2026-04-02

この脆弱性への対応として、まずOpal Woo Custom Product Variationをバージョン1.1.4にアップデートすることを推奨します。アップデートが困難な場合は、ウェブサーバーの設定を見直し、アクセス制限を強化することで、脆弱性の悪用を軽減できる可能性があります。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。ファイルアクセスログを監視し、不審なアクセスがないか確認することも重要です。アップデート後、ファイルアクセス権限を確認し、不要なアクセスを制限してください。

アクティブインストール数

400ニッチ

プラグイン評価

0.0

WordPressが必要

5.0+

動作確認済みバージョン

6.9.4

PHPが必要

5.4+