プラットフォーム
wordpress
コンポーネント
wp-cookies-enabler
修正版
1.0.2
CVE-2024-54380は、Filippo BodeiのWP Cookies Enablerにおいて、パス制限の不備によりPHPローカルファイルインクルージョン(LFI)が発生する脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは、1.0.1以前です。開発者はバージョン1.0.2へのアップデートを推奨しています。
この脆弱性は、攻撃者がWP Cookies Enablerを通じてサーバー上の任意のファイルを読み込むことを可能にします。攻撃者は、設定ファイル、データベースファイル、または他の機密情報を含むファイルを読み出す可能性があります。これにより、サーバーの機密情報が漏洩したり、攻撃者がサーバー上でコードを実行したりするリスクが生じます。特に、WordPressの管理画面へのアクセス権を得ている攻撃者にとって、この脆弱性は非常に危険です。類似のLFI脆弱性は、サーバー全体のセキュリティを脅かす可能性があります。
この脆弱性は、2024年12月16日に公開されました。現時点では、公開されているPoCは確認されていませんが、LFI脆弱性であるため、早期に悪用される可能性があります。CISA KEVへの登録状況は不明です。攻撃者は、WordPressの他の脆弱性を悪用してWP Cookies Enablerへのアクセス権を得て、この脆弱性を悪用する可能性があります。
Websites using the WP Cookies Enabler plugin, particularly those running older versions (≤1.0.1), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with weak file access permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-cookies-enabler/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/wp-cookies-enabler/../../../../etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.18% (40% パーセンタイル)
CISA SSVC
CVSS ベクトル
WP Cookies Enablerのバージョンを1.0.2にアップデートすることが最も効果的な対策です。アップデートできない場合は、WP Cookies Enablerプラグインを一時的に無効化するか、ファイルシステムのアクセス権限を適切に設定することでリスクを軽減できます。また、WordPressのセキュリティプラグインを使用して、不正なファイルアクセスを監視することも有効です。WAF(Web Application Firewall)を導入し、LFI攻撃を検知・防御するルールを設定することも推奨されます。
Actualice el plugin WP Cookies Enabler a la última versión disponible. Si no hay una versión más reciente, considere deshabilitar o eliminar el plugin hasta que se publique una actualización que corrija la vulnerabilidad. Consulte el sitio web del desarrollador para obtener más información y actualizaciones.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-54380は、WP Cookies Enablerのパス制限不備によりPHPローカルファイルインクルージョンが発生する脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密ファイルにアクセスできる可能性があります。
WP Cookies Enablerのバージョンが1.0.1以下の場合、影響を受けます。バージョン1.0.2にアップデートすることで、この脆弱性を修正できます。
WP Cookies Enablerをバージョン1.0.2にアップデートしてください。アップデートできない場合は、プラグインを無効化するか、ファイルシステムのアクセス権限を適切に設定してください。
現時点では、公開されているPoCは確認されていませんが、LFI脆弱性であるため、早期に悪用される可能性があります。常に最新のセキュリティ情報を確認し、対策を講じることを推奨します。
WP Cookies Enablerの公式アドバイザリは、開発者のウェブサイトまたはWordPressプラグインリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。