プラットフォーム
wordpress
コンポーネント
wp-businessdirectory
修正版
3.1.3
CMSJunkieのWordPress Business DirectoryプラグインWP-BusinessDirectoryにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が本来アクセスできないファイルを読み取れる可能性を秘めており、機密情報の漏洩につながる恐れがあります。影響を受けるバージョンは0.0.0から3.1.2までの間です。プラグインのバージョンアップにより修正が提供されています。
このパス・トラバーサル脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。攻撃者は、Webサーバーの構成ファイル、データベースのバックアップ、または機密性の高いドキュメントなどの機密情報を盗む可能性があります。さらに、攻撃者はこの脆弱性を悪用して、サーバー上で任意のコードを実行し、システムを完全に制御する可能性があります。この脆弱性の悪用は、Webサイトの改ざん、データの破壊、またはマルウェアの拡散につながる可能性があります。
この脆弱性は、2025年4月11日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、攻撃者の関心を集める可能性があります。CISAのKEVリストへの登録状況は不明です。
Websites using the WP-BusinessDirectory plugin, particularly those running older versions (0.0.0–3.1.2), are at risk. Shared hosting environments are especially vulnerable as they often have limited control over server configurations and file permissions. Administrators who haven't recently updated their plugins or implemented robust security measures are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/wp-businessdirectory/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/wp-businessdirectory/../../../../etc/passwd' # Attempt to access a sensitive filedisclosure
エクスプロイト状況
EPSS
0.38% (59% パーセンタイル)
CISA SSVC
CVSS ベクトル
WP-BusinessDirectoryプラグインをバージョン3.1.3にアップデートすることが最も効果的な対策です。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、パス・トラバーサル攻撃をブロックすることを検討してください。また、ファイルアクセス権限を適切に設定し、不要なファイルの公開を避けることで、攻撃の影響を軽減できます。プラグインのアップデート後、ファイルアクセス権限が適切に設定されていることを確認し、脆弱性が修正されていることを検証してください。
Actualice el plugin WP-BusinessDirectory a la última versión disponible para solucionar la vulnerabilidad de recorrido de ruta. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de aplicar cualquier actualización.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-32629は、CMSJunkieのWordPress Business DirectoryプラグインWP-BusinessDirectoryにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、本来アクセスできないファイルを読み取れる可能性があります。
WP-BusinessDirectoryのバージョン0.0.0から3.1.2を使用している場合は影響を受けます。攻撃者は、サーバー上の任意のファイルにアクセスし、機密情報を盗む可能性があります。
WP-BusinessDirectoryプラグインをバージョン3.1.3にアップデートすることで修正できます。アップデートが利用できない場合は、WAFを使用して攻撃をブロックすることを検討してください。
現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、攻撃者の関心を集める可能性があります。
CMSJunkieの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。