プラットフォーム
wordpress
コンポーネント
counter-visitor-for-woocommerce
修正版
1.3.7
Counter live visitors for WooCommerceプラグインには、バージョン1.0.0から1.3.6までの間で、認証されていない攻撃者がサーバー上の任意のファイルを削除できる脆弱性(CVE-2025-7359)が発見されました。この脆弱性は、wcvisitorgetblock関数におけるファイルパスの検証不備が原因です。攻撃者は、この脆弱性を悪用することで、データ損失やサービス拒否を引き起こす可能性があります。最新バージョンへのアップデートにより、この脆弱性は修正されています。
この脆弱性は、攻撃者がサーバー上の任意のファイルを削除できるため、非常に深刻な影響をもたらす可能性があります。攻撃者は、重要な設定ファイルやアプリケーションファイルを削除することで、システムを完全に停止させることができます。また、機密情報を含むファイルを削除することで、情報漏洩のリスクも高まります。この脆弱性は、WordPressサイト全体のセキュリティを脅かすものであり、迅速な対応が必要です。攻撃者は、ターゲットディレクトリ内のすべてのファイルを削除するため、単一のファイルではなく、広範囲なデータ損失を引き起こす可能性があります。
この脆弱性は、2025年7月16日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。この種のファイルアクセス脆弱性は、しばしば攻撃者によって悪用されるため、注意が必要です。
Websites using the Counter live visitors for WooCommerce plugin, particularly those running older, unpatched versions (1.0.0–1.3.6), are at risk. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit this vulnerability to impact multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r "wcvisitor_get_block" /var/www/html/wp-content/plugins/counter-live-visitors-for-woocommerce/• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/counter-live-visitors-for-woocommerce/wcvisitor_get_block?file=../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
エクスプロイト状況
EPSS
0.71% (72% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずCounter live visitors for WooCommerceプラグインを最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合、一時的な回避策として、wcvisitorgetblock関数が呼び出される可能性のあるディレクトリへのアクセスを制限するWAFルールを実装することを検討してください。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルの書き込み権限を削除することも有効です。アップデート後、プラグインの動作を確認し、ファイルが意図せず削除されていないことを確認してください。
Actualice el plugin Counter live visitors for WooCommerce a una versión corregida. La vulnerabilidad ha sido solucionada en versiones posteriores a la 1.3.6. Verifique la página del plugin en WordPress.org para obtener la última versión disponible.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-7359は、Counter live visitors for WooCommerceプラグインのバージョン1.0.0~1.3.6において、ファイルパスの検証不備により、認証されていない攻撃者がサーバー上の任意のファイルを削除できる脆弱性です。
Counter live visitors for WooCommerceプラグインのバージョン1.0.0から1.3.6を使用しているWordPressサイトを運用している場合は、影響を受ける可能性があります。
Counter live visitors for WooCommerceプラグインを最新バージョンにアップデートすることで、この脆弱性を修正できます。
現時点では、公開されているPoCは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。
Counter live visitors for WooCommerceプラグインの公式ウェブサイトまたはWordPressプラグインディレクトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。