File Manager Pro – Filester <= 1.8.5 - 認証済み (管理者以上) ローカル JavaScript ファイル包含 (Local JavaScript File Inclusion)

この脆弱性は、認証された攻撃者が管理者権限以上を持っている場合に悪用されます。攻撃者は、fm_localeパラメータを介して任意のJavaScriptファイルをインクルードし、実行することができます。これにより、攻撃者はアクセス制御をバイパスし、機密データを取得したり、サーバー上で任意のコードを実行したりすることが可能になります。特に、画像やその他の安全なファイルタイプがアップロードできる場合、この脆弱性は非常に危険です。攻撃者は、これらのファイルをインクルードすることで、サーバーの制御を奪う可能性があります。類似の脆弱性は、ファイルアップロード機能を持つプラグインでしばしば確認されており、Filesterもそのリスクに晒されていました。

WordPress websites utilizing the Filester plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at risk. Shared hosting environments where plugin updates are not managed centrally are also particularly vulnerable.

• wordpress / composer / npm:

grep -r 'fm_locale' /var/www/html/wp-content/plugins/filester/

• wordpress / composer / npm:

wp plugin list --status=all | grep filester

• wordpress / composer / npm:

wp plugin update filester --all

1. 2024-11-27Disclosure

   disclosure

1. 予約済み2024-10-08
2. 公開日2024-11-27
3. 更新日2026-01-23
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Filesterプラグインをバージョン1.8.6にアップデートすることです。アップデートが利用できない場合、一時的な対策として、fm_localeパラメータの入力を厳密に検証し、許可されたファイルのみをインクルードするように制限することが考えられます。また、WordPressのセキュリティプラグインを使用して、不正なファイルインクルージョンの試行を検知することも有効です。WAF（Web Application Firewall）を導入し、特定のパターンを持つリクエストをブロックすることも有効な防御策となります。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。

アクティブインストール数

100Kニッチ

プラグイン評価

4.9

WordPressが必要

3.0+

動作確認済みバージョン

7.0