プラットフォーム
wordpress
コンポーネント
file-manager-advanced
修正版
5.2.9
CVE-2024-8704は、WordPressのAdvanced File ManagerプラグインにおけるローカルJavaScriptファイルインクルージョン(LFI)の脆弱性です。この脆弱性は、認証された攻撃者が、'fma_locale'パラメータを悪用することで、サーバー上の任意のファイルをインクルードし、実行することを可能にします。影響を受けるバージョンは5.2.8以前です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者は認証された状態でサーバー上の任意のPHPファイルをインクルードし、実行することができます。これにより、機密情報の窃取、アクセス制御のバイパス、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、画像ファイルなどの安全なファイルタイプをアップロードし、それらをインクルードすることで、PHPコードを実行することが可能です。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2024年9月26日に公開されました。現時点では、公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISAのKEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、WordPressサイトを標的とした攻撃を仕掛ける可能性があります。
WordPress websites utilizing the Advanced File Manager plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'fma_locale' /var/www/html/wp-content/plugins/advanced-file-manager/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/advanced-file-manager/?fma_locale=../../../../../../etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.49% (66% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Advanced File Managerプラグインをバージョン5.2.9以降にアップデートすることです。アップデートが困難な場合は、'fma_locale'パラメータへのアクセスを制限するWAFルールや、ファイルアップロードの制限を強化する設定を検討してください。また、WordPressのセキュリティプラグインを使用して、不正なファイルインクルージョンの試行を監視することも有効です。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。
Actualice el plugin Advanced File Manager a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la inclusión de archivos JavaScript locales.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-8704は、WordPressのAdvanced File Managerプラグインのバージョン5.2.8以前に存在する、ローカルJavaScriptファイルインクルージョンの脆弱性です。攻撃者はこの脆弱性を悪用して、任意のPHPコードを実行する可能性があります。
WordPressサイトでAdvanced File Managerプラグインのバージョン5.2.8以前を使用している場合は、影響を受けます。最新バージョンへのアップデートを推奨します。
Advanced File Managerプラグインをバージョン5.2.9以降にアップデートしてください。アップデートが困難な場合は、WAFルールやファイルアップロード制限の強化を検討してください。
現時点では、公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。常に最新のセキュリティ情報を確認し、対策を講じることを推奨します。
Advanced File Managerの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。