WordPress Apptha Slider Gallery プラグイン <= 2.5 - 任意のファイル読み込み脆弱性

このパス・トラバーサル脆弱性は、攻撃者がWebサーバーのファイルシステムを探索し、機密情報を盗み出すことを可能にします。例えば、設定ファイル、ログファイル、ソースコードなどが攻撃対象となり得ます。攻撃者は、この脆弱性を利用して、Webサイトの機密情報を取得し、さらなる攻撃に利用する可能性があります。攻撃範囲は、Webサーバーのファイルシステム全体に及び、深刻な影響をもたらす可能性があります。

WordPress sites using the Apptha Slider Gallery plugin, particularly those running older, unpatched versions (0.0.0 - 2.5). Shared hosting environments are at increased risk due to the potential for cross-site contamination and limited control over server configurations.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/apptha-slider-gallery/*

• generic web:

curl -I 'http://example.com/wp-content/plugins/apptha-slider-gallery/../../../../etc/passwd' # Check for file disclosure

1. 2025-06-09Disclosure

   disclosure

1. 予約済み2025-03-26
2. 公開日2025-06-09
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

Apptha Slider Galleryのバージョンを2.5.4にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定で、Apptha Slider Galleryプラグインのディレクトリへのアクセスを制限するなどの代替策を検討してください。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。アクセスログを監視し、不審なアクセスがないか確認することも重要です。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないことを確認してください。