WordPress Delete Comments By Status プラグイン <= 1.5.3 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

このPath Traversal脆弱性は、攻撃者がDelete Comments By Statusプラグインを通じてサーバー上のファイルシステムを探索することを可能にします。攻撃者は、Webサーバーのルートディレクトリや、設定ファイル、データベースのバックアップなど、機密情報を含むファイルを読み取ることができます。読み取られた情報は、攻撃者に悪用され、さらなる攻撃の足がかりとなる可能性があります。例えば、設定ファイルからデータベースの認証情報を取得し、データベースへの不正アクセスを試みることが考えられます。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwd

1. 2025-03-03Disclosure

   disclosure

1. 予約済み2025-02-03
2. 公開日2025-03-03
3. 更新日2026-04-28
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Delete Comments By Statusプラグインをバージョン2.1.2以降にアップデートすることです。アップデートが困難な場合は、プラグインのディレクトリへのアクセスを制限するWebサーバーの設定変更を検討してください。また、WAF（Web Application Firewall）を導入し、Path Traversal攻撃を検知・防御するルールを設定することも有効です。ファイルシステムのアクセス権限を適切に設定し、不要なファイルの公開を避けることも重要です。アップデート後、プラグインの動作を確認し、意図しない動作がないか検証してください。