プラットフォーム
wordpress
コンポーネント
wp-event-solution
修正版
4.0.9
Eventin WordPressプラグインのバージョン4.0.8以前には、ローカルファイルインクルージョン(LFI)の脆弱性が存在します。この脆弱性は、認証された攻撃者が、コントリビューター以上の権限を持つユーザーであれば、サーバー上の任意のファイルをインクルードし、実行することを可能にします。影響を受けるバージョンは4.0.8以前であり、最新バージョンへのアップデートが推奨されます。
この脆弱性を悪用されると、攻撃者はサーバー上の機密情報にアクセスしたり、PHPコードを実行したりする可能性があります。これにより、アクセス制御のバイパス、機密データの窃取、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、画像やその他の「安全」なファイルタイプをアップロードし、それらをインクルードすることで、PHPコードの実行を試みる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクを伴います。
この脆弱性は、2024年9月27日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、LFI脆弱性は一般的に悪用されやすいと考えられます。CISAのKEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、WordPressサイトのバックエンドに侵入し、機密情報を窃取したり、悪意のあるコードを実行したりする可能性があります。
Websites utilizing the Eventin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unable to implement effective mitigation measures beyond plugin updates.
• wordpress / composer / npm:
grep -r 'style=' /var/www/html/wp-content/plugins/eventin/• wordpress / composer / npm:
wp plugin list | grep eventin• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
エクスプロイト状況
EPSS
0.71% (72% パーセンタイル)
CISA SSVC
CVSS ベクトル
Eventin WordPressプラグインをバージョン4.0.9以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressの.htaccessファイルを使用して、Eventinプラグインのディレクトリへのアクセスを制限するなどの回避策を講じることができます。また、WAF(Web Application Firewall)を導入し、LFI攻撃を検知・防御するルールを設定することも有効です。プラグインのファイルアクセス権限を適切に設定し、不要なファイルの書き込みを制限することも重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
Actualice el plugin Eventin a la última versión disponible. La vulnerabilidad de inclusión de archivos locales permite a atacantes autenticados ejecutar código PHP arbitrario en el servidor. La actualización corrige esta vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-7149は、Eventin WordPressプラグインのバージョン4.0.8以前に存在するローカルファイルインクルージョンの脆弱性です。認証された攻撃者が任意のPHPコードを実行できる可能性があります。
はい、Eventin WordPressプラグインのバージョン4.0.8以前を使用している場合は影響を受けます。最新バージョンへのアップデートが必要です。
Eventin WordPressプラグインをバージョン4.0.9以降にアップデートしてください。アップデートが困難な場合は、.htaccessファイルによるアクセス制限などの回避策を検討してください。
現時点では公的なPoCは確認されていませんが、LFI脆弱性は一般的に悪用されやすいと考えられます。注意が必要です。
Eventin WordPressプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティアドバイザリページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。