Meta Box <= 5.11.1 - 認証済み (貢献者+) による任意のファイル削除

この脆弱性は、認証された攻撃者（コントリビュータ権限以上）が、サーバー上の任意のファイルを削除できることを意味します。攻撃者は、wp-config.phpなどの重要なファイルを削除することで、WordPressサイトの完全な制御を獲得し、リモートコードを実行する可能性があります。これにより、機密情報の漏洩、ウェブサイトの改ざん、さらにはサーバー全体の侵害といった深刻な被害が発生する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。

WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'meta-box'

• wordpress / composer / npm:

wp plugin update meta-box --all

• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.

1. 2026-03-07Disclosure

   disclosure

1. 予約済み2025-12-13
2. 公開日2026-03-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Meta Boxプラグインをバージョン5.11.2以降にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、ファイル削除機能を一時的に無効化する、またはアクセス制御を強化するなどの対策を講じる必要があります。WAF（Web Application Firewall）を導入し、不正なファイルアクセス試行を検知・ブロックすることも有効です。また、WordPressのファイルパーミッションを適切に設定し、攻撃者がアクセスできるファイルを制限することも重要です。アップデート後、プラグインの動作を確認し、ファイル削除機能が正常に動作することを確認してください。