プラットフォーム
wordpress
コンポーネント
oxygen-mydata
修正版
1.0.65
CVE-2025-32631は、Oxygen MyData for WooCommerceにおけるPath Traversal脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能となり、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンは、0.0.0から1.0.64までのバージョンです。開発元はバージョン1.0.64で修正を提供しています。
このPath Traversal脆弱性は、攻撃者がOxygen MyData for WooCommerceプラグインを通じてサーバー上のファイルシステムにアクセスすることを可能にします。攻撃者は、ウェブサーバーのルートディレクトリや、設定ファイル、データベースのバックアップなど、機密情報を含むファイルを読み取ることが可能です。また、この脆弱性を悪用することで、攻撃者はサーバー上の他のアプリケーションやサービスへのアクセス権を取得し、横展開攻撃を仕掛ける可能性も考えられます。類似のPath Traversal脆弱性は、過去に多くのウェブアプリケーションで確認されており、攻撃者にとって悪用しやすい脆弱性です。
この脆弱性は、2025年4月11日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公的なPoC(Proof of Concept)は確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、今後積極的に悪用される可能性があります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を把握することが重要です。
Websites utilizing Oxygen MyData for WooCommerce, particularly those running older, unpatched versions (0.0.0–1.0.64), are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and server configurations. Sites with weak file permission configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/oxygen-mydata-for-woocommerce/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oxygen-mydata-for-woocommerce/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep oxygen-mydatadisclosure
エクスプロイト状況
EPSS
0.38% (59% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずOxygen MyData for WooCommerceをバージョン1.0.64にアップデートすることを推奨します。アップデートが困難な場合は、ウェブサーバーの設定で、Oxygen MyData for WooCommerceプラグインのディレクトリへのアクセスを制限するなどの対策を講じる必要があります。また、WAF(Web Application Firewall)を導入し、Path Traversal攻撃を検知・防御するルールを設定することも有効です。プラグインのファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することも重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
Actualice el plugin Oxygen MyData for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de limitación adecuada de la ruta de acceso, previniendo la eliminación arbitraria de archivos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-32631は、Oxygen MyData for WooCommerceプラグインにおけるPath Traversal脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の任意のファイルを読み取ることが可能になります。
はい、バージョン0.0.0から1.0.64までのOxygen MyData for WooCommerceを使用しているWordPressサイトは影響を受けます。
Oxygen MyData for WooCommerceをバージョン1.0.64にアップデートすることで修正できます。
現時点では公的なPoCは確認されていませんが、Path Traversal脆弱性は悪用が容易であるため、今後積極的に悪用される可能性があります。
開発元のウェブサイトやWordPressプラグインディレクトリで最新のアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。