プラットフォーム
wordpress
コンポーネント
energox
修正版
1.2.1
CVE-2026-24970は、WordPressプラグインEnergoxにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は制限されたディレクトリ外のファイルにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンは0.0.0から1.2までであり、バージョン1.3で修正されています。迅速なアップデートを推奨します。
このパス・トラバーサル脆弱性は、攻撃者がEnergoxプラグインを通じてサーバー上の任意のファイルにアクセスすることを可能にします。これにより、設定ファイル、ソースコード、データベースのバックアップなど、機密性の高い情報が漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、Webサイトの改ざんや、サーバーへの不正アクセスを試みる可能性があります。特に、WordPressの管理画面にアクセスできる攻撃者にとって、この脆弱性は非常に危険です。
この脆弱性は、2026年3月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は不明です。
Websites utilizing the Energox WordPress plugin in versions 0.0.0 through 1.2 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over file permissions and server configurations. Administrators who have not regularly updated their WordPress plugins are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/energox/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/energox/../../../../etc/passwddisclosure
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
CVSS ベクトル
Energoxプラグインのバージョンを1.3以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインのファイルアクセス権限を制限する、またはWebアプリケーションファイアウォール(WAF)を使用して、不正なファイルアクセスをブロックすることを検討してください。WAFルールとしては、ファイルパスに「..」が含まれるリクエストをブロックするルールが有効です。また、Energoxプラグインのディレクトリへのアクセスを制限する設定も有効です。
バージョン1.3、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24970は、WordPressプラグインEnergoxにおいて、攻撃者が制限されたディレクトリ外のファイルにアクセスできるパス・トラバーサル脆弱性です。
Energoxプラグインのバージョン0.0.0から1.2が影響を受けます。バージョン1.3以降にアップデートすることで修正されます。
Energoxプラグインをバージョン1.3以上にアップデートしてください。アップデートが難しい場合は、WAFの設定やファイルアクセス権限の制限を検討してください。
現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Energoxプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティ情報ページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。