プラットフォーム
wordpress
コンポーネント
storecontrl-wp-connection
修正版
4.1.4
CVE-2025-39568は、Arture B.V.が開発したStoreContrl Woocommerceプラグインにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はWebサーバー上の任意のファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。影響を受けるバージョンは0.0.0から4.1.3までで、バージョン4.1.4で修正されています。
このパス・トラバーサル脆弱性は、攻撃者がWebサーバーのファイルシステムを探索し、機密情報を盗むことを可能にします。例えば、設定ファイルからデータベースの認証情報が漏洩したり、ソースコードから脆弱性が発見されたりする可能性があります。攻撃者は、Webサーバーのルートディレクトリ外にあるファイルを読み取ることができ、システム全体のセキュリティを脅かす可能性があります。この脆弱性は、類似のパス・トラバーサル攻撃と同様に、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。
この脆弱性は2025年4月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は確認されていません。NVDデータベースにも登録されています。
WordPress websites using the StoreContrl Woocommerce plugin, particularly those running older versions (0.0.0–4.1.3), are at risk. Shared hosting environments where WordPress installations have limited access controls are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other websites on the same server.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/storecontrl-wp-connection/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/storecontrl-wp-connection/../../../../etc/passwd | head -n 1disclosure
エクスプロイト状況
EPSS
0.50% (66% パーセンタイル)
CISA SSVC
CVSS ベクトル
StoreContrl Woocommerceプラグインをバージョン4.1.4にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、パス・トラバーサル攻撃を検出し、ブロックすることができます。また、ファイルアクセス権限を適切に設定し、Webサーバーのルートディレクトリ外にあるファイルへのアクセスを制限することも有効です。プラグインのファイルアクセスを制限するカスタムルールを実装することも検討してください。
Actualice el plugin StoreContrl Woocommerce a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique la página del plugin en WordPress.org para obtener la versión más reciente y las instrucciones de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-39568は、Arture B.V.のStoreContrl Woocommerceプラグインにおけるパス・トラバーサル脆弱性であり、攻撃者がWebサーバー上の任意のファイルを読み取ることが可能となります。
StoreContrl Woocommerceのバージョンが0.0.0から4.1.3までの場合は、影響を受けます。バージョン4.1.4以降を使用している場合は、影響を受けません。
StoreContrl Woocommerceプラグインをバージョン4.1.4にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Arture B.V.の公式ウェブサイトまたはWordPressプラグインリポジトリで確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。