プラットフォーム
wordpress
コンポーネント
download-counter
修正版
1.4.1
CVE-2025-60242は、Anatoly Download CounterにおいてPath Traversal脆弱性が存在することが判明しました。この脆弱性は、攻撃者が本来アクセスできないファイルを読み取れる可能性を秘めており、機密情報の漏洩につながる恐れがあります。影響を受けるバージョンは0.0.0から1.4です。バージョン1.4.1へのアップデートによりこの脆弱性は修正されています。
このPath Traversal脆弱性は、攻撃者がサーバー上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイルやログファイルから機密情報(データベースの認証情報、APIキーなど)を盗み出すことが考えられます。さらに、攻撃者はこの脆弱性を悪用して、Webサーバーのルートディレクトリにアクセスし、悪意のあるコードをアップロードする可能性も否定できません。この脆弱性の影響範囲は広範囲に及び、サーバー全体のセキュリティが脅かされる可能性があります。
この脆弱性は、2025年11月6日に公開されました。現時点では、公的なProof-of-Concept(PoC)は確認されていませんが、Path Traversal脆弱性は悪用事例が多く、今後悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。
WordPress sites utilizing the Anatoly Download Counter plugin, particularly those running older versions (0.0.0–1.4), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/download-counter/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/download-counter/download.php?file=../../../../etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずAnatoly Download Counterをバージョン1.4.1にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、Webアプリケーションファイアウォール(WAF)でPath Traversal攻撃を検知・防御するルールを実装したり、ファイルアクセス制限を強化したりすることを検討してください。また、ファイルアクセスログを監視し、異常なアクセスがないか確認することも重要です。アップデート後、ファイルアクセス権限を確認し、不正なアクセスがないことを確認してください。
Actualice el plugin Download Counter a la última versión disponible para corregir la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el repositorio de plugins de WordPress o en el sitio web del desarrollador. Implemente medidas de seguridad adicionales, como limitar los permisos de archivo y directorio, para mitigar el riesgo.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-60242は、Anatoly Download Counterプラグインのバージョン0.0.0から1.4で、攻撃者が任意のファイルを読み取れるPath Traversal脆弱性です。
Anatoly Download Counterプラグインのバージョン0.0.0から1.4を使用しているWordPressサイトは影響を受けます。バージョン1.4.1へのアップデートが必要です。
Anatoly Download Counterプラグインをバージョン1.4.1にアップデートしてください。アップデートが難しい場合は、WAFルールやファイルアクセス制限を一時的な回避策として検討してください。
現時点では公的な悪用事例は確認されていませんが、Path Traversal脆弱性は悪用事例が多く、今後悪用される可能性は高いと考えられます。
Anatoly Download Counterの公式アドバイザリは、プラグインのアップデート情報をご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。