プラットフォーム
wordpress
コンポーネント
medical-prescription-attachment-plugin-for-woocommerce
修正版
1.2.4
CVE-2025-29009は、WooCommerceのMedical Prescription Attachment Pluginにおいて、任意ファイルアクセス脆弱性が存在します。この脆弱性は、攻撃者がWebシェルをサーバーにアップロードすることを可能にし、システムへの完全な制御につながる可能性があります。影響を受けるバージョンは、n/aから1.2.3までのものです。バージョン1.2.4へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はWebシェルをサーバーにアップロードし、リモートからコマンドを実行できるようになります。これにより、機密情報の窃取、データの改ざん、システムの完全な制御といった深刻な被害が発生する可能性があります。特に、Webアプリケーションの認証情報を取得されれば、他のシステムへの横展開も容易になるため、攻撃範囲は広がる可能性があります。類似の脆弱性は、過去にWebシェルを介したサーバーの乗っ取り事例で確認されています。
この脆弱性は、2025年7月16日に公開されました。現時点では、KEVに登録されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。公的なPoCはまだ確認されていませんが、Webシェルアップロードの脆弱性は一般的に悪用されやすい傾向にあります。NVDおよびCISAの情報を注視してください。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、影響を受けるバージョンのプラグインを使用している場合は、速やかにバージョン1.2.4にアップデートしてください。アップデートが困難な場合は、プラグインのアップロード機能を一時的に無効化するか、ファイルの種類を厳格に制限するなどの対策を講じてください。WAFやWebアプリケーションプロキシを導入し、Webシェルとして悪用される可能性のあるファイルのアップロードを検知・遮断することも有効です。また、サーバーのログを監視し、不審なアクセスやファイルの変更がないか確認してください。
Actualice el plugin Medical Prescription Attachment Plugin for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de subida arbitraria de archivos. Verifique la fuente del plugin en wordpress.org para obtener la actualización más reciente. Considere implementar medidas de seguridad adicionales, como la validación de archivos subidos, para mitigar el riesgo.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-29009は、WooCommerceのMedical Prescription Attachment Pluginにおける、攻撃者がWebシェルをアップロードできる任意ファイルアクセス脆弱性です。
影響を受けるバージョンは、n/aから1.2.3までのものです。バージョン1.2.4にアップデートすることで修正されます。
バージョン1.2.4にアップデートしてください。アップデートが困難な場合は、アップロード機能を一時的に無効化するか、ファイルの種類を制限してください。
現時点では公的なPoCは確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。
Webkulの公式ウェブサイトまたはWooCommerceのセキュリティアドバイザリを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。