プラットフォーム
wordpress
コンポーネント
litho
修正版
3.0.1
CVE-2025-49879は、themezaa Litho WordPressテーマに存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はWebサーバー上の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは、0.0.0から3.0までのLithoテーマです。2025年6月17日に公開され、バージョン3.0.1で修正されました。
このパス・トラバーサル脆弱性は、攻撃者がWebサーバーのファイルシステムを自由に探索することを可能にします。攻撃者は、設定ファイル、ソースコード、データベースのバックアップなど、機密性の高い情報にアクセスする可能性があります。また、Webサーバーのルートディレクトリにアクセスすることで、Webサイトの改ざんや悪意のあるコードの実行も可能になるリスクがあります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、類似のパス・トラバーサル脆弱性は過去に悪用事例が報告されています。CISA KEVへの登録状況は不明です。
WordPress websites using the themezaa Litho theme, particularly those running versions 0.0.0 through 3.0, are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with sensitive data stored on the server are at higher risk of compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/litho/*• generic web:
curl -I 'http://example.com/wp-content/themes/litho/../../../../etc/passwd'disclosure
エクスプロイト状況
EPSS
0.10% (26% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Lithoテーマをバージョン3.0.1にアップデートすることです。アップデートがすぐに利用できない場合、Webサーバーの設定でファイルアクセスを制限する、またはWordPressのセキュリティプラグインを使用してファイルアクセスを監視するなどの一時的な対策を講じることができます。また、WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。アップデート後、ファイルアクセスログを監視し、不正なアクセスがないか確認してください。
Actualice el tema Litho a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como no se especifica una versión corregida en el CVE, contacte al desarrollador para obtener más información.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-49879は、themezaa Litho WordPressテーマに存在するパス・トラバーサル脆弱性で、攻撃者がファイルシステムへの不正アクセスを試みる可能性があります。
はい、バージョン0.0.0から3.0までのLithoテーマを使用している場合は、この脆弱性の影響を受けます。
Lithoテーマをバージョン3.0.1にアップデートすることで、この脆弱性を修正できます。
現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、公開されているため、悪用される可能性はあります。
themezaaの公式アドバイザリは、themezaaのウェブサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。