プラットフォーム
wordpress
コンポーネント
jettabs
修正版
2.2.4
JetTabs for Elementorプラグインのバージョン2.2.3以前には、ローカルファイルインクルージョン(LFI)の脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者がサーバー上の任意のファイルをインクルードし、実行できる可能性があります。WordPressサイトのセキュリティに重大な影響を与える可能性があります。影響を受けるバージョンは2.2.3以前であり、最新バージョンへのアップデートでこの問題は修正されています。
このLFI脆弱性は、攻撃者が認証された状態でJetTabs for Elementorプラグインの'switcher_preset'パラメータを操作することで悪用されます。攻撃者は、コントリビューター以上の権限を持っている必要がありますが、これにより、サーバー上の任意のPHPファイルをインクルードし、実行することが可能になります。これにより、アクセス制御をバイパスしたり、機密データを取得したり、さらにはコード実行を達成したりする可能性があります。特に、画像やその他の安全なファイルタイプをアップロードできる場合、攻撃者はそれらをインクルードして悪意のあるコードを実行できる可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。
この脆弱性は、2024年8月16日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、LFI脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISAのKEV(Known Exploited Vulnerabilities)カタログへの登録状況は不明です。NVD(National Vulnerability Database)にも登録されており、詳細な情報が提供されています。
WordPress websites using the JetTabs for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also at increased risk, as attackers may be able to upload malicious files more easily. Websites with outdated plugin versions are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'switcher_preset' /var/www/html/wp-content/plugins/jet-tabs-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-tabs-for-elementor• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/jet-tabs-for-elementor/ | grep switcher_presetdisclosure
エクスプロイト状況
EPSS
0.37% (59% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、JetTabs for Elementorプラグインを最新バージョン(2.2.4以降)にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、WordPressの.htaccessファイルを使用して、JetTabsプラグインのディレクトリへのアクセスを制限することを検討してください。また、WAF(Web Application Firewall)を導入し、LFI攻撃を検知・防御するルールを設定することも有効です。プラグインのファイルパーミッションを適切に設定し、不要なファイルの書き込み権限を削除することも重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
Actualice el plugin JetTabs for Elementor a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de inclusión de archivos locales.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-7146は、JetTabs for Elementorプラグインのバージョン2.2.3以前に存在するローカルファイルインクルージョンの脆弱性です。認証された攻撃者が任意のPHPコードを実行できる可能性があります。
JetTabs for Elementorプラグインのバージョン2.2.3以前を使用している場合は、影響を受けます。最新バージョンへのアップデートが必要です。
JetTabs for Elementorプラグインを最新バージョン(2.2.4以降)にアップデートしてください。アップデートができない場合は、.htaccessファイルでアクセス制限を設けるなどの回避策を検討してください。
現時点では公的なPoCは確認されていませんが、LFI脆弱性は悪用される可能性が高いため、早急な対応が必要です。
JetTabs for Elementorの公式アドバイザリは、プラグインの公式サイトまたはWordPressプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。