概要
Easy PHP Settings は WordPress の PHP 設定 を 管理画面 から 変更 できる プラグイン です。本 プラグイン に PHP コードインジェクション(CWE-94: Improper Control of Generation of Code)の 脆弱性 が 存在 し、wp-config.php に 任意 の PHP コード を 書き込む こと が 可能 です。
この 脆弱性 に より、管理者 権限 を 持つ 攻撃者 が wp-config.php を 改ざん し、WordPress サイト 全体 の 制御 を 奪取 する こと が 可能 です。wp-config.php は WordPress の 最も 重要 な 設定ファイル で あり、データベース 認証情報 など の 機密 情報 を 含みます。
該当 プラグイン を 使用 して いる 場合 は、直ちに アップデート または 削除 が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.2 |
| 深刻度 | High |
| CWE | CWE-94 (コードインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Easy PHP Settings | WordPress プラグイン | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: プラグイン の 最新 バージョン へ アップデート
- 暫定回避策: プラグイン を 無効化・削除 し、wp-config.php の パーミッション を 読み取り専用 に 設定 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。