BackWPup <= 5.6.6 - 認証済み (管理者以上) ユーザーによる 'block_name' パラメータを介したローカルファイルインクルージョン

このLFI脆弱性を悪用されると、攻撃者は認証された状態で、サーバー上の任意のPHPファイルをインクルードできます。これにより、機密情報を含むwp-config.phpファイルへのアクセスが可能になり、データベースの認証情報が漏洩する可能性があります。さらに、サーバーの構成によっては、リモートコード実行（RCE）を達成することも可能です。攻撃者は、インクルードするPHPファイルを通じて、任意のコードを実行し、ウェブサイトを完全に制御する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。

WordPress websites utilizing the BackWPup plugin, particularly those running versions 5.6.6 or earlier, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak administrator password policies are also at increased risk.

• wordpress / composer / npm:

grep -r '....//' /var/www/html/wp-content/plugins/backwpup/includes/class-backwpup-rest.php

• generic web:

curl -I 'https://your-wordpress-site.com/wp-json/backwpup/v1/getblock?block_name=....//wp-config.php' | grep 'HTTP/1.1' # Check for 403 Forbidden or other error indicating access denied

1. 2026-04-13Disclosure

   disclosure

1. 予約済み2026-04-13
2. 公開日2026-04-13
3. 更新日2026-04-14
4. EPSS 更新日2026-04-21

この脆弱性への対応策として、まずBackWPupプラグインをバージョン5.6.7以降にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、.htaccessファイルを使用して/wp-json/backwpup/v1/getblockエンドポイントへのアクセスを制限する、またはWAF（Web Application Firewall）を使用して悪意のあるリクエストをブロックするなどの回避策を検討してください。また、WordPressのセキュリティプラグインを使用して、不正なファイルアクセスを監視することも有効です。アップデート後、プラグインの動作を確認し、セキュリティログを監視して、異常なアクティビティがないか確認してください。

アクティブインストール数

500K既知

プラグイン評価