WordPress BuddyPress XProfile Custom Image Field プラグイン <= 3.0.1 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイルやログファイルから機密情報（データベースの認証情報、APIキーなど）を盗み出すことが考えられます。さらに、攻撃者はこの脆弱性を利用して、Webサーバーのルートディレクトリにアクセスし、悪意のあるコードをアップロードすることで、Webサイトを完全に制御する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクを伴います。

WordPress websites utilizing the BuddyPress XProfile Custom Image Field plugin, particularly those running older versions (0.0.0 – 3.0.1), are at risk. Shared hosting environments are particularly vulnerable as a compromise of one site could potentially expose files on the entire server. Sites with weak file permission configurations are also at increased risk.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/buddypress-xprofile-image-field/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/uploads/buddypress-xprofile-image-field/../../../../etc/passwd' # Check for file disclosure

1. 2025-08-20Disclosure

   disclosure

1. 予約済み2025-05-15
2. 公開日2025-08-20
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、BuddyPress XProfile Custom Image Fieldをバージョン3.0.2にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、プラグインのディレクトリへのアクセスを制限するWebアプリケーションファイアウォール（WAF）ルールを実装することを検討してください。また、ファイルアップロード機能を使用する際に、ファイル名やパスを厳密に検証する入力検証を強化することも有効です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。

アクティブインストール数

300ニッチ

プラグイン評価

4.8

WordPressが必要

3.2.1+

動作確認済みバージョン

6.9.4