WordPress Houzez Property Feed プラグイン <= 2.5.4 - 任意のファイルダウンロードの脆弱性

このパス・トラバーサル脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイルやログファイルから機密情報（データベースの認証情報、APIキーなど）を窃取したり、Webサイトのコードを改ざんしたりする可能性があります。攻撃者は、この脆弱性を悪用して、Webサイトの完全な制御を奪い、悪意のあるコードを実行したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。この脆弱性は、Webアプリケーションのセキュリティを著しく損なう可能性があります。

WordPress sites using the Houzez Property Feed plugin, particularly those running older versions (0.0 - 2.5.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to access to files on other sites.

• wordpress / composer / npm:

grep -r "../" /var/www/html/houzez-property-feed/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/houzez-property-feed/../../../../etc/passwd

1. 2025-04-01Disclosure

   disclosure

1. 予約済み2025-03-26
2. 公開日2025-04-01
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Houzez Property Feedをバージョン2.5.4にアップデートすることです。アップデートが困難な場合は、Webサーバーの設定でファイルアクセスを制限する、またはWAF（Web Application Firewall）を導入して、不正なファイルアクセスを検知・遮断するなどの対策を講じる必要があります。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルの書き込みを禁止することも有効です。

アクティブインストール数

1K既知

プラグイン評価

4.7

WordPressが必要

3.8+

動作確認済みバージョン

7.0