MaxiBlocks: 2200+ Patterns, 190 Pages, 14.2K Icons & 100 Styles <= 1.9.2 - Authenticated (Subscriber+) 認証済みによる任意のファイル削除

この脆弱性を悪用されると、認証された攻撃者はSubscriberレベル以上のアクセス権を持つことで、サーバー上の任意のファイルを削除できます。特に、wp-config.phpファイルが削除されると、データベース接続情報が失われ、リモートコード実行につながる重大なリスクがあります。攻撃者は、削除されたファイルによって引き起こされるシステム不安定性を利用して、さらなる攻撃を仕掛ける可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす深刻な問題です。

WordPress websites utilizing the MaxiBlocks plugin, particularly those with Subscriber-level users or higher who have access to plugin settings, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Websites with outdated plugin versions are at the highest risk.

• wordpress / composer / npm:

wp plugin list | grep MaxiBlocks

• wordpress / composer / npm:

wp plugin update MaxiBlocks

• wordpress / composer / npm:

grep -r 'maxi_remove_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/

• wordpress / composer / npm:

grep -r 'maxi_add_custom_image_size' /var/www/html/wp-content/plugins/maxi-blocks/

1. 2024-07-23Disclosure

   disclosure

1. 予約済み2024-07-18
2. 公開日2024-07-23
3. 更新日2024-08-01
4. EPSS 更新日2026-04-02

まず、MaxiBlocksプラグインをバージョン1.9.3にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、プラグインを一時的に無効化することでリスクを軽減できます。WAF（Web Application Firewall）を使用している場合は、ファイルの削除を試みるリクエストをブロックするルールを追加することを検討してください。また、wp-config.phpファイルへのアクセスを制限するファイルシステム権限を設定することも有効です。アップデート後、wp-config.phpファイルが正常に存在し、アクセス可能であることを確認してください。

アクティブインストール数

800既知

プラグイン評価

5.0

WordPressが必要

6.3+

動作確認済みバージョン

7.0

PHPが必要

8.0+