概要
WordPress プラグイン Invelity Product Feeds に おける クロスサイトリクエストフォージェリ(CSRF)を 起点 と した パストラバーサル の 脆弱性 です。CSRF 保護 が 不十分 な エンドポイント を 悪用 し、パストラバーサル に よって サーバー 上 の 任意 の ファイル を 削除 できて しまう 問題 が 存在 します。
CWE-352(Cross-Site Request Forgery)に 分類 される この 問題 に より、攻撃者 は 管理者 を 悪意 の ある ページ に 誘導 する こと で、WordPress の 設定 ファイル(wp-config.php 等)や 重要 な システム ファイル を 削除 する こと が 可能 です。サイト の 完全 な 停止 や セットアップ 画面 の 再 表示 に よる 乗っ取り に つながる おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 (High) |
| CWE | CWE-352(クロスサイトリクエストフォージェリ) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 必要 |
影響を受けるソフトウェア
- Invelity Product Feeds(WordPress プラグイン、1.2.6 以前)
修正バージョンと回避策
- 修正バージョン: ベンダー の アドバイザリ を 確認 してください
- 暫定回避策: プラグイン を 一時的 に 無効化 する。管理者 は 不審 な リンク を クリック しない よう 注意 する。wp-config.php の パーミッション を 厳格 に 設定 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。