プラットフォーム
wordpress
コンポーネント
the-events-calendar
修正版
6.15.18
The Events Calendarプラグインのバージョン0.0.0から6.15.17までのWordPressプラグインには、ファイルパストラバーサルによる脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者はサーバー上の任意のファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。脆弱性は2026年3月10日に公開され、バージョン6.15.17.1で修正されました。
この脆弱性は、認証された攻撃者(Author権限以上)がajaxcreateimport関数を通じてファイルパストラバーサル攻撃を実行することを可能にします。攻撃者は、この脆弱性を利用して、Webサーバーのファイルシステム上の機密ファイル(設定ファイル、データベースダンプ、ソースコードなど)にアクセスし、その内容を読み取ることができます。これにより、パスワード、APIキー、データベース接続情報などの機密情報が漏洩する可能性があります。攻撃者は、さらにこの情報を利用して、システムへの不正アクセスや、データの改ざん、破壊などの攻撃を行う可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年3月10日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、ファイルパストラバーサル攻撃は一般的な攻撃手法であり、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、WordPressサイトの機密情報を窃取し、不正アクセスやデータ改ざんなどの攻撃を行う可能性があります。
WordPress websites utilizing The Events Calendar plugin, particularly those with Author-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions and inadequate security practices are also at increased risk.
• wordpress / composer / npm: Use wp-cli plugin update to check the installed version of The Events Calendar.
wp plugin list --status=active | grep 'The Events Calendar'• generic web: Monitor web server access logs for requests to wp-content/plugins/the-events-calendar/ajaxcreateimport with unusual or potentially malicious file paths in the parameters.
grep 'ajax_create_import' /var/log/apache2/access.log• wordpress / composer / npm: Examine the the-events-calendar plugin files for any unauthorized modifications or backdoors.
find /var/www/html/wp-content/plugins/the-events-calendar -type f -mtime -7disclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずThe Events Calendarプラグインをバージョン6.15.17.1以上にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、WordPressの.htaccessファイルにファイルアクセスを制限するルールを追加することで、攻撃者がアクセスできるファイルの範囲を狭めることができます。また、WAF(Web Application Firewall)を導入し、ファイルパストラバーサル攻撃を検知・防御することも有効です。プラグインのアップデート後、ajaxcreateimport関数が正しく動作し、任意のファイルへのアクセスが制限されていることを確認してください。
バージョン 6.15.17.1、またはそれ以降の修正版にアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-3585は、The Events Calendarプラグインのバージョン0.0.0~6.15.17で、認証された攻撃者がファイルパストラバーサル攻撃によりサーバー上の任意のファイルを読み取れる脆弱性です。
The Events Calendarプラグインのバージョン0.0.0から6.15.17を使用しているWordPressサイトは、この脆弱性の影響を受けます。
The Events Calendarプラグインをバージョン6.15.17.1以上にアップデートしてください。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、悪用される可能性は否定できません。
The Events Calendarの公式アドバイザリは、プラグインのアップデート情報やセキュリティに関する詳細が記載されている可能性があります。The Events Calendarの公式サイトをご確認ください。
CVSS ベクトル
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。