WordPress Aviation Weather from NOAA プラグイン <= 0.7.2 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性は、攻撃者がファイルシステム内の任意の場所にアクセスすることを可能にします。例えば、設定ファイル、ログファイル、または機密情報を含む他のファイルを読み取ることが考えられます。攻撃者は、この脆弱性を利用して、サーバーの構成に関する情報を収集し、他の攻撃を計画する可能性があります。また、機密情報が漏洩した場合、組織の評判を損なうだけでなく、法的責任を問われる可能性もあります。この脆弱性は、類似のパス・トラバーサル攻撃と同様に、機密情報の漏洩やシステムの不正利用につながる可能性があります。

WordPress sites utilizing the Aviation Weather from NOAA plugin, particularly those running older, unpatched versions (0.0.0 - 0.7.2), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/aviation-weather-from-noaa/

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/aviation-weather-from-noaa/../../../../etc/passwd'

1. 2025-07-04Disclosure

   disclosure

1. 予約済み2025-03-11
2. 公開日2025-07-04
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最善の対応は、Aviation Weather from NOAAをバージョン0.7.3にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃をブロックすることができます。また、ファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも有効です。WordPressのセキュリティプラグインを使用して、ファイルシステムの整合性を監視することも推奨されます。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないことを確認してください。

アクティブインストール数

100

プラグイン評価

5.0

WordPressが必要

3.8+

動作確認済みバージョン

6.1.10