WordPress FW Food Menu プラグイン <= 6.0.0 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイル、ログファイル、または他の機密情報を含むファイルが読み出される可能性があります。攻撃者は、この脆弱性を利用して、サーバーの構成を把握したり、機密情報を盗み出したり、さらにはサーバーを完全に制御する可能性があります。この脆弱性は、類似のパス・トラバーサル攻撃と同様に、機密情報の漏洩やシステムへの不正アクセスにつながる重大なリスクをもたらします。

WordPress websites utilizing the FW Food Menu plugin are at risk. This includes sites with legacy configurations, shared hosting environments where file permissions may be less restrictive, and those that haven't implemented robust security monitoring practices. Sites using older, unmaintained versions of WordPress are also at increased risk due to potential compatibility issues with the updated plugin.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/fw-food-menu/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/fw-food-menu/../../../../etc/passwd' # Check for file disclosure

• wordpress / composer / npm:

wp plugin list --status=active | grep 'fw-food-menu'

• wordpress / composer / npm:

wp plugin update fw-food-menu

1. 2025-06-27Disclosure

   disclosure

1. 予約済み2025-06-04
2. 公開日2025-06-27
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずFW Food Menuをバージョン6.0.1にアップデートすることを推奨します。アップデートが利用できない場合、一時的な回避策として、Webアプリケーションファイアウォール（WAF）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定してください。また、ファイルアクセス権限を適切に設定し、攻撃者がアクセスできるファイルを制限することも有効です。アップデート後、ファイルアクセス権限が正しく設定されていることを確認し、脆弱性が修正されていることを検証してください。