WordPress FW Food Menu <= 6.0.0 - 任意のファイルアップロードの脆弱性

この任意ファイルアクセス脆弱性は、攻撃者にとって非常に危険です。攻撃者は、悪意のあるファイルをアップロードすることで、サーバー上の任意の場所にアクセスし、機密情報を盗み出す可能性があります。例えば、データベースファイルや設定ファイルなどを取得し、システムの設定を改ざんしたり、他のシステムへの攻撃の足がかりにしたりすることが考えられます。さらに、攻撃者は、アップロードしたファイルを実行することで、システムを完全に制御下に置くことも可能です。この脆弱性は、Web サーバーのセキュリティを著しく損なう可能性があり、機密情報の漏洩、サービス停止、システム乗っ取りなど、深刻な被害をもたらす可能性があります。類似の脆弱性は、Web アプリケーションにおけるファイルアップロード機能の不備から発生することが多く、厳重な対策が必要です。

1. 予約済み2025-06-04
2. 公開日2025-06-17
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まず FW Food Menu を 6.0.1 以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、一時的な回避策として、Web サーバーの設定でアップロード可能なファイルタイプを制限する、またはファイルアップロード機能を使用するユーザーの権限を制限するなどの対策を講じることが考えられます。また、WAF (Web Application Firewall) を導入し、悪意のあるファイルアップロードを検知・遮断するルールを設定することも有効です。アップグレード後、ファイルアップロード機能が正常に動作すること、および脆弱性が修正されていることを確認してください。Sigma/YARA パターンは、この脆弱性を悪用した攻撃を検出するために役立つ可能性があります。