HIGHCVE-2024-54375CVSS 7.5

WordPress Woolook プラグイン <= 1.7.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

Q: CVE-2024-54375 — Path Traversal in Woolook WordPressプラグインとは何ですか？

CVE-2024-54375は、Woolook WordPressプラグインのパス制限不備により、PHPローカルファイルインクルージョンが発生する脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密ファイルにアクセスできる可能性があります。

Q: CVE-2024-54375 in Woolook WordPressプラグインの影響はありますか？

Woolook WordPressプラグインのバージョンが1.7.0以前を使用している場合、影響を受けます。特に、機密情報を扱う設定ファイルがWebサーバーのルートディレクトリに配置されている環境は、攻撃のリスクが高まります。

Q: CVE-2024-54375 in Woolook WordPressプラグインを修正するにはどうすればよいですか？

Woolook WordPressプラグインをバージョン1.7.1にアップデートすることで、この脆弱性を修正できます。アップデートがすぐに利用できない場合は、WAFを使用して攻撃を防御してください。

Q: CVE-2024-54375は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は悪用が容易であるため、早期に悪用される可能性があります。

Q: CVE-2024-54375に関する公式のWoolook WordPressプラグインのアドバイザリはどこで入手できますか？

Woolook WordPressプラグインの公式アドバイザリは、開発者のウェブサイトまたはWordPressプラグインリポジトリで確認できます。

プラットフォーム

wordpress

コンポーネント

woolook

修正版

1.7.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-54375は、Sabri Taieb Woolook WordPressプラグインにおけるパス制限不備（Path Traversal）によるPHPローカルファイルインクルージョン脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは、n/aから1.7.0までのバージョンです。開発者はバージョン1.7.1へのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。攻撃者は、Webサーバーのルートディレクトリにある設定ファイルや、データベースの認証情報を含むファイルなどを読み出す可能性があります。これにより、機密情報の漏洩、システムへの不正アクセス、さらにはサーバーの完全な制御といった深刻な被害が発生する可能性があります。この脆弱性は、類似のPath Traversal攻撃と同様に、攻撃者がシステムに侵入するための足がかりとして利用される可能性があります。

悪用の状況

この脆弱性は、2024年12月16日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は悪用が容易であるため、早期に悪用される可能性があります。CISA KEVへの登録状況は不明です。攻撃者は、脆弱性情報を基に、自動化されたスキャンツールを使用して脆弱なシステムを探索する可能性があります。

リスク対象者翻訳中…

WordPress websites utilizing the Woolook plugin, particularly those running versions prior to 1.7.1, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/woolook/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/woolook/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-12-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.33% (56% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwoolook

ベンダーSabri Taieb

影響範囲修正版

0.0.0 – 1.7.01.7.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-12-02
公開日2024-12-16
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性に対する最も効果的な対策は、Woolookプラグインをバージョン1.7.1にアップデートすることです。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）を使用して、Path Traversal攻撃を検知・防御することができます。また、WordPressの設定でファイルアップロードディレクトリへのアクセスを制限するなどの対策も有効です。ファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも重要です。アップデート後、プラグインの動作を確認し、意図しない動作がないか確認してください。

修正方法翻訳中…

Actualice el plugin Woolook a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte la documentación del plugin o contacte al desarrollador para obtener más información.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-54375 — Path Traversal in Woolook WordPressプラグインとは何ですか？