プラットフォーム
wordpress
コンポーネント
classic-addons-wpbakery-page-builder-addons
修正版
3.0.1
CVE-2024-56286は、Classic Addons – WPBakery Page Builderにおいて、パス・トラバーサル脆弱性が存在します。この脆弱性は、PHP Local File Inclusionを可能にし、攻撃者がサーバー上の機密ファイルにアクセスするリスクがあります。影響を受けるバージョンはClassic Addons – WPBakery Page Builderの3.0以前です。開発者はバージョン3.0.1へのアップデートを推奨しています。
この脆弱性は、攻撃者がClassic Addons – WPBakery Page Builderを通じてサーバー上の任意のファイルにアクセスすることを可能にします。攻撃者は、Webサイトの構成ファイル、データベースのバックアップ、またはその他の機密情報を盗む可能性があります。さらに、この脆弱性を悪用することで、攻撃者はWebサイトのコードを実行し、Webサイトを完全に制御する可能性があります。この脆弱性は、Webサイトの機密性と完全性を損なう重大なリスクをもたらします。類似の脆弱性は、ファイルアップロード機能の不備から発生することがあります。
CVE-2024-56286は、2025年1月7日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISAのKEVリストへの登録状況は不明です。NVDデータベースにも情報が登録されています。
WordPress websites utilizing the Classic Addons – WPBakery Page Builder plugin, particularly those running versions 3.0 or earlier, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. Websites with weak file access permissions are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/classic-addons-wpbakery-page-builder/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/classic-addons-wpbakery-page-builder/../../../../etc/passwddisclosure
エクスプロイト状況
EPSS
0.22% (44% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Classic Addons – WPBakery Page Builderをバージョン3.0.1にアップデートすることです。アップデートがすぐに利用できない場合、一時的な対策として、Webアプリケーションファイアウォール(WAF)を使用して、パス・トラバーサル攻撃をブロックすることができます。また、ファイルアップロード機能を使用している場合は、入力の検証を強化し、アップロードされたファイルが安全であることを確認する必要があります。ファイルアクセス権限を最小限に抑え、不要なファイルへのアクセスを制限することも有効です。アップデート後、Classic Addons – WPBakery Page Builderのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice el plugin Classic Addons – WPBakery Page Builder a una versión posterior a la 3.0. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida. Revise las notas de la versión actualizada para confirmar que la vulnerabilidad ha sido solucionada.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-56286は、Classic Addons – WPBakery Page Builderのバージョン3.0以前に存在するパス・トラバーサル脆弱性で、攻撃者がPHP Local File Inclusionを可能にし、サーバー上の機密ファイルにアクセスするリスクがあります。
Classic Addons – WPBakery Page Builderのバージョンが3.0以前の場合、この脆弱性の影響を受けます。バージョン3.0.1にアップデートすることを推奨します。
Classic Addons – WPBakery Page Builderをバージョン3.0.1にアップデートしてください。アップデートが利用できない場合は、WAFを使用して攻撃をブロックすることを検討してください。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Classic Addons – WPBakery Page Builderの公式アドバイザリは、開発者のWebサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。