Hippoo Mobile App for WooCommerce <= 1.7.1 - 認証されていない任意のファイル読み取り

このパス・トラバーサル脆弱性は、攻撃者がサーバーのファイルシステムを探索し、機密情報を盗むことを可能にします。例えば、設定ファイル、データベースのバックアップ、ソースコードなどが攻撃者の手に渡る可能性があります。攻撃者は、この情報を用いてさらなる攻撃を仕掛けたり、システムを完全に制御しようとする可能性があります。WordPressサイトのセキュリティが侵害された場合、顧客データや決済情報など、重要な情報が漏洩するリスクも考慮する必要があります。類似の脆弱性は、機密情報の漏洩やシステムの乗っ取りに繋がる重大なインシデントを引き起こす可能性があります。

Websites utilizing the Hippoo Mobile App for WooCommerce plugin, particularly those running older versions (0.0.0–1.7.1), are at significant risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher concentration of WordPress installations.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/hippoo-mobile-app-for-woocommerce/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/hippoo-mobile-app-for-woocommerce/../../../../etc/passwd' # Check for file disclosure

• wordpress / composer / npm:

wp plugin list --status=active | grep 'hippoo-mobile-app-for-woocommerce'

• wordpress / composer / npm:

wp plugin update hippoo-mobile-app-for-woocommerce

1. 2025-12-10Disclosure

   disclosure

1. 予約済み2025-11-17
2. 公開日2025-12-10
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Hippoo Mobile App for WooCommerceプラグインをバージョン1.7.2にアップデートすることを強く推奨します。アップデートが困難な場合は、プラグインを一時的に無効化するか、ファイルアクセスを制限するWAF/プロキシルールを実装してください。具体的には、template_redirect()関数へのアクセスを制限するルールを追加することが有効です。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルの書き込み権限を削除することも重要です。アップデート後、ファイルアクセスログを監視し、不正なアクセスがないか確認してください。

アクティブインストール数

1Kニッチ

プラグイン評価

4.9

WordPressが必要

5.3+

動作確認済みバージョン

6.9.4