WordPress Easy Video Player Wordpress & WooCommerce プラグイン <= 10.0 - 任意のファイルダウンロード脆弱性

このパス・トラバーサル脆弱性は、攻撃者がWebサーバーのファイルシステムを探索し、本来アクセスできないはずの機密ファイルにアクセスすることを可能にします。例えば、設定ファイル、ソースコード、データベースのバックアップなどが盗まれる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの改ざんや、他のシステムへの攻撃の足がかりにすることも考えられます。この脆弱性は、Webサイトのセキュリティを著しく損なう可能性があります。

WordPress websites utilizing the Easy Video Player Wordpress & WooCommerce plugin, particularly those running older, unpatched versions (0.0.0–10.0), are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/easy-video-player-woocommerce/

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/easy-video-player-woocommerce/../../../../etc/passwd' # Check for file disclosure

1. 2025-07-16Disclosure

   disclosure

1. 予約済み2025-03-11
2. 公開日2025-07-16
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Easy Video Player Wordpress & WooCommerceをバージョン10.0.1にアップデートすることです。アップデートが困難な場合は、Webサーバーの設定でファイルアクセスを制限する、またはWAF（Web Application Firewall）を導入して、不正なアクセスをブロックすることを検討してください。また、ファイルアクセスログを監視し、異常なアクセスがないか確認することも重要です。