概要
Meta Box は WordPress 用 の 人気 の ある カスタムフィールド プラグイン です。パストラバーサル(CWE-22: Improper Limitation of a Pathname to a Restricted Directory)に よる 任意 の ファイル 削除 が 可能 な 脆弱性 が 存在 します。
この 脆弱性 に より、攻撃者 は WordPress の 重要 な ファイル(例: wp-config.php)を 削除 する こと が 可能 です。wp-config.php が 削除 される と、WordPress は 再インストール モード に 遷移 し、攻撃者 が 管理者 として セットアップ を 完了 する こと で リモートコード実行(RCE)を 達成 できます。
Meta Box プラグイン を 使用 して いる 環境 で は、速やか に 修正 バージョン へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.2 |
| 深刻度 | High |
| CWE | CWE-22 (パストラバーサル) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Meta Box | MetaBox.io | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: Meta Box の 最新 バージョン へ アップデート
- 暫定回避策: wp-config.php の ファイル パーミッション を 厳格 に 設定 し、Web サーバー ユーザー から の 削除 を 防止 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。