重要情報 説明 脆弱性タイプ: WordPressプラグイン「Work The Flow File Upload」に、任意のファイルアップロードの脆弱性が存在する。 原因: アプリケーションがユーザー入力を適切にサニタイズ(清浄化)していないため、攻撃者が任意のファイルをアップロードできる。 影響: 攻撃者はこの脆弱性を悪用してマルウェアをアップロードし、Webサーバープロセス内で実行させることができる。これにより、権限のないアクセスや権限昇格が発生する可能性がある。 深刻度 レベル: 高 分類 CWE番号: CWE-434 CVSSスコア: - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VCH/V:H/VA:H/SC:N/SE:N/SA:I/N 修正提案 対策: プラグインをバージョン2.5.3、または最新バージョンに更新する。 参考資料 HomeLab Exploit-DB PacketStormSecurity PacketStormSecurity GitHub 関連する脆弱性 XWikiの資格情報管理におけるエラー(CVE-2005-4862) Joomla! コアのクロスサイトスクリプティング(1.7.0 - 3.9.5) WordPressプラグイン MW WP Form のディレクトリトラバーサル(4.4.2) DolibarrにおけるWebページ生成時の入力処理不適切による「クロスサイトスクリプティング」脆弱性(CVE-2017-14241) PHPその他の脆弱性(CVE-2005-3054)