プラットフォーム
wordpress
コンポーネント
pluginpass-pro-plugintheme-licensing
修正版
0.9.11
CVE-2024-54291は、WordPressプラグインPluginPassにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステムへの不正アクセスを試みることが可能です。影響を受けるバージョンはPluginPassの0.9.10以下です。開発者は0.9.11で修正を提供しており、ユーザーは速やかにアップデートすることを推奨します。
このパス・トラバーサル脆弱性は、攻撃者がPluginPassプラグインを通じてサーバー上の機密ファイルにアクセスすることを可能にします。攻撃者は、/../../のようなパス操作文字列を悪用し、本来アクセスできないファイルシステム上のディレクトリを閲覧したり、ファイルをダウンロードしたり、場合によっては上書きしたりする可能性があります。これにより、WordPressサイトの構成ファイル、データベース情報、またはその他の機密データが漏洩するリスクがあります。攻撃者は、この脆弱性を踏み台として、サーバー内の他のアプリケーションやサービスへの攻撃を試みる可能性もあります。
この脆弱性は、2025年3月28日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、攻撃者の関心を集める可能性があります。CISA KEVリストへの登録状況は不明です。
WordPress websites using the PluginPass plugin, particularly those running versions 0.9.10 or earlier, are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and file permissions. Websites with legacy PluginPass installations or those that haven't performed regular plugin updates are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/pluginpass/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pluginpass/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep pluginpass• wordpress / composer / npm:
wp plugin update pluginpassdisclosure
エクスプロイト状況
EPSS
0.24% (48% パーセンタイル)
CISA SSVC
CVSS ベクトル
PluginPassプラグインのバージョンを0.9.11以降にアップデートすることが最も効果的な対策です。アップデートできない場合は、ファイルシステムへのアクセスを制限するWAF(Web Application Firewall)ルールを実装することを検討してください。具体的には、PluginPassプラグインに関連するファイルへのアクセスを制限するルールを作成します。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーがファイルシステム上の機密ファイルにアクセスできないようにすることも重要です。アップデート後、PluginPassプラグインのファイルパーミッションが適切に設定されていることを確認してください。
Actualice el plugin PluginPass a la última versión disponible. La vulnerabilidad permite la descarga y eliminación arbitraria de archivos, por lo que es crucial actualizar lo antes posible. Consulte la página del plugin en el repositorio de WordPress para obtener la versión más reciente.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-54291は、PluginPass WordPressプラグインにおけるパス・トラバーサル脆弱性であり、攻撃者がファイルシステムに不正にアクセスする可能性があります。CVSSスコアは8.6(HIGH)です。
PluginPass WordPressプラグインのバージョンが0.9.10以下の場合、この脆弱性の影響を受けます。バージョン0.9.11以降にアップデートしてください。
PluginPass WordPressプラグインをバージョン0.9.11以降にアップデートしてください。アップデートできない場合は、WAFルールを実装するなど、緩和策を検討してください。
現時点では、公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
PluginPassの公式アドバイザリは、開発者のウェブサイトまたはWordPressプラグインリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。