WooCommerce Purchase Orders <= 1.0.2 - 認証済み (Subscriber+) による任意のファイル削除

この脆弱性は、攻撃者がWordPressサイトのサーバー上で任意ファイルを削除できることを意味します。最も深刻な影響は、wp-config.phpファイルが削除された場合です。wp-config.phpファイルには、データベース接続情報やセキュリティキーなどの重要な情報が含まれており、このファイルが削除されると、攻撃者はデータベースにアクセスしたり、WordPressサイトを完全に制御したりすることが可能になります。また、他の重要な設定ファイルが削除されることで、サイトの機能が停止したり、機密情報が漏洩したりするリスクもあります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性があり、迅速な対応が必要です。

WordPress websites utilizing the Purchase Orders for WooCommerce plugin, particularly those running versions 1.0.0 through 1.0.2, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or compromised user accounts are also more susceptible to exploitation.

• wordpress / composer / npm:

grep -r "delete_file\(" /var/www/html/wp-content/plugins/purchase-orders-for-woocommerce/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/purchase-orders-for-woocommerce/delete.php?file=/etc/passwd

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'purchase-orders-for-woocommerce'

1. 2025-08-12Disclosure

   disclosure

1. 予約済み2025-05-30
2. 公開日2025-08-12
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずPurchase Orders for WooCommerceプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、WordPressのファイルパーミッションを適切に設定し、攻撃者がアクセスできないように制限することも有効です。また、WAF（Web Application Firewall）を導入し、不正なファイルアクセスを検知・遮断するルールを設定することも有効な対策となります。プラグインのアップデート後、wp-config.phpファイルが存在し、適切なパーミッションが設定されていることを確認してください。

アクティブインストール数

40

プラグイン評価

5.0

WordPressが必要

4.7+

動作確認済みバージョン

6.8.5