Kallyas <= 4.21.0 - 認証済み (貢献者以上) による任意のフォルダ削除

この脆弱性は、認証された攻撃者がWordPressサイトのサーバー上で任意のフォルダを削除することを可能にします。これにより、重要なファイルやデータベースが失われる可能性があり、サイト全体の機能停止やデータの漏洩につながる可能性があります。攻撃者は、サイトのバックアップファイル、設定ファイル、または他の機密データを削除することで、深刻な損害を与える可能性があります。この脆弱性は、WordPressのセキュリティを著しく損なう重大なリスクとなります。

Websites using the KALLYAS theme, particularly those with contributor-level users who have write access to the WordPress file system, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites running older, unpatched versions of the theme are most susceptible.

• wordpress / composer / npm:

wp plugin list | grep kallyas

• wordpress / composer / npm:

grep -r 'delete_font(' /var/www/html/wp-content/plugins/kallyas/*

• wordpress / composer / npm:

wp plugin update kallyas --all

• wordpress / composer / npm:

wp theme list | grep kallyas

1. 2025-07-26Disclosure

   disclosure

1. 予約済み2025-07-01
2. 公開日2025-07-26
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、KALLYAS WordPressテーマを最新バージョンにアップグレードすることを強く推奨します。アップグレードが困難な場合は、.htaccessファイルを使用して、delete_font()関数へのアクセスを制限するルールを追加することで、一時的な緩和策を講じることができます。また、WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効です。定期的なバックアップの実施も、万が一の事態に備える上で重要です。アップグレード後、テーマの機能が正常に動作することを確認してください。