プラットフォーム
wordpress
コンポーネント
ultimate-classified-listings
修正版
1.4.1
CVE-2024-52448は、WebCodingPlace Ultimate Classified Listingsにおいて、ディレクトリトラバーサル脆弱性が確認されています。この脆弱性は、PHPローカルファイルインクルージョンを可能にし、攻撃者が機密ファイルにアクセスするリスクをもたらします。影響を受けるバージョンは、Ultimate Classified Listings 1.4以下です。現在、バージョン1.4.1で修正が提供されています。
この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能になります。これにより、設定ファイル、ソースコード、データベースのバックアップなど、機密情報が漏洩する可能性があります。攻撃者は、この脆弱性を利用して、Webサイトのコードを改ざんしたり、悪意のあるコードを実行したりすることも考えられます。特に、データベースの認証情報が漏洩した場合、データベースへの不正アクセスやデータの改ざん、削除といった深刻な被害につながる可能性があります。この脆弱性は、類似のファイルインクルージョン脆弱性と同様に、攻撃者にとって魅力的な標的となりえます。
この脆弱性は、2024年11月20日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公的なPoC(Proof of Concept)は確認されていませんが、ディレクトリトラバーサル脆弱性であるため、攻撃者による悪用が懸念されます。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を把握することが重要です。
WordPress websites utilizing the Ultimate Classified Listings plugin, particularly those running versions 1.4 or earlier, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable, as are sites with outdated or unmanaged WordPress installations.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-classified-listings/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/ultimate-classified-listings/../../../../etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.22% (44% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Ultimate Classified Listingsをバージョン1.4.1にアップデートすることを強く推奨します。アップデートが困難な場合は、Webサーバーの設定で、Ultimate Classified Listingsのディレクトリへのアクセスを制限するルールを実装してください。WAF(Web Application Firewall)を使用している場合は、ディレクトリトラバーサル攻撃を検知・防御するルールを追加することも有効です。また、ファイルインクルージョンを防止するために、入力値の検証を徹底し、ファイルパスを適切にサニタイズする必要があります。アップデート後、ファイルシステムへの不正アクセスがないか、ログを監視し、確認してください。
Actualice el plugin Ultimate Classified Listings a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la explotación de la vulnerabilidad de inclusión de archivos locales.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-52448は、Ultimate Classified Listingsのバージョン1.4以下に存在するディレクトリトラバーサル脆弱性で、攻撃者がPHPローカルファイルインクルージョンを実行し、機密ファイルにアクセスする可能性があります。
Ultimate Classified Listingsのバージョンが1.4以下の場合、この脆弱性の影響を受けます。バージョン1.4.1にアップデートすることで、脆弱性を解消できます。
Ultimate Classified Listingsをバージョン1.4.1にアップデートしてください。アップデートが困難な場合は、Webサーバーの設定でアクセス制限を実装するか、WAFで防御ルールを追加してください。
現時点では公的なPoCは確認されていませんが、ディレクトリトラバーサル脆弱性であるため、攻撃者による悪用が懸念されます。最新の情報を常に把握するようにしてください。
WebCodingPlaceの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。