HIGHCVE-2024-54374CVSS 7.5

WordPress Sogrid プラグイン <= 1.5.6 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-54374 — パストラバーサル脆弱性はSogridプラグインで何ですか？

CVE-2024-54374は、Sogrid WordPressプラグインのバージョン1.5.6以下で、パスの制限が不十分なために発生するファイルインクルージョン脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の任意のファイルを読み取ることができます。

Q: CVE-2024-54374でSogridプラグインを使用している場合、影響を受けますか？

はい、Sogrid WordPressプラグインのバージョンが1.5.6以下の場合、この脆弱性の影響を受けます。バージョン1.5.7にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-54374でSogridプラグインを修正するにはどうすればよいですか？

Sogrid WordPressプラグインをバージョン1.5.7にアップデートしてください。WordPressの管理画面からプラグインを更新するか、wp-cliコマンドを使用してアップデートできます。

Q: CVE-2024-54374は現在積極的に悪用されていますか？

現時点では、CVE-2024-54374を悪用した攻撃の具体的な事例は確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。

Q: CVE-2024-54374のSogridプラグインの公式アドバイザリはどこで入手できますか？

Sogridプラグインの公式アドバイザリは、開発者のSabri TaiebのウェブサイトまたはWordPressプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

sogrid

修正版

1.5.7

AI Confidence: highNVDEPSS 4.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-54374は、Sabri TaiebのSogrid WordPressプラグインにおけるパストラバーサル（Path Traversal）脆弱性です。この脆弱性を悪用されると、攻撃者は任意のファイルを読み取り、サーバー上の機密情報を取得する可能性があります。影響を受けるバージョンは、1.5.6以前です。開発者はバージョン1.5.7へのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSogridプラグインを通じてサーバー上の任意のファイルを読み取れることを意味します。攻撃者は、設定ファイル、ソースコード、またはその他の機密情報を取得し、システムへのさらなる侵入を試みる可能性があります。特に、データベースの認証情報やAPIキーが漏洩した場合、深刻な被害につながる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は、2024年12月16日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the Sogrid plugin, particularly those running older versions (≤1.5.6), are at risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with default configurations or those lacking robust security practices are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/sogrid/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/sogrid/../../../../etc/passwd'

攻撃タイムライン

2024-12-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

4.46% (89% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントsogrid

ベンダーSabri Taieb

影響範囲修正版

0.0.0 – 1.5.61.5.7

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-12-02
公開日2024-12-16
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Sogridプラグインをバージョン1.5.7にアップデートすることです。アップデートがすぐに利用できない場合、WordPressの.htaccessファイルを使用して、Sogridプラグインのディレクトリへのアクセスを制限する一時的な回避策を実装できます。また、WAF（Web Application Firewall）を使用して、ファイルインクルージョン攻撃を検出し、ブロックすることも有効です。プラグインのファイルアクセス権限を厳しく制限することも推奨されます。

修正方法翻訳中…

Actualice el plugin Sogrid a la última versión disponible. Si no hay una versión disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión corregida. Esto evitará la vulnerabilidad de inclusión de archivos locales.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-54374 — パストラバーサル脆弱性はSogridプラグインで何ですか？