WordPress PT Luxa Addons プラグイン <= 1.2.2 - 任意のファイル削除の脆弱性

このパス・トラバーサル脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスできることを意味します。攻撃者は、Webサイトの構成ファイル、データベースのバックアップ、またはその他の機密情報を盗む可能性があります。また、この脆弱性を悪用して、Webサイトのコードを実行したり、他のシステムに侵入したりすることも可能です。攻撃者は、ファイル名に「..」などのパス・トラバーサルシーケンスを使用することで、ディレクトリ構造を移動し、意図しないファイルにアクセスできます。この脆弱性は、Webサイトのセキュリティを著しく損なう可能性があります。

Websites utilizing the ypromo PT Luxa Addons plugin, particularly those running older, unpatched versions (0.0.0–1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/pt-luxa-addons/*

• generic web:

curl -I https://example.com/wp-content/plugins/pt-luxa-addons/../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list | grep 'pt-luxa-addons'

• wordpress / composer / npm:

wp plugin update pt-luxa-addons

1. 2025-10-22Disclosure

   disclosure

1. 予約済み2025-09-25
2. 公開日2025-10-22
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、PT Luxa Addonsをバージョン1.2.3にアップデートすることです。アップデートがすぐに利用できない場合、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃をブロックすることができます。また、WordPressの設定でファイルアクセス権を制限したり、ディレクトリインデックスを無効にしたりすることも有効です。ファイルアクセス権を厳密に管理し、不要なファイルへのアクセスを制限することで、攻撃の影響を軽減できます。