| タイトル | WordPress.orgのWordPressにおける危険なタイプのファイルの無制限アップロードに関する脆弱性 |
|---|---|
| 概要 | WordPressは、ウェブ向けのオープンパブリッシングプラットフォームです。WordPressの「プラグイン → 新規追加 → プラグインのアップロード」画面では、管理者ユーザーがzipファイル以外のファイルタイプも新しいプラグインとして提出できます。インストールのためにFTP認証情報の入力が必要な場合(ファイルを「uploads」ディレクトリ外に移動するため)、アップロードされたファイルが許可されていなくても一時的にメディアライブラリで利用可能な状態になります。サイトで「DISALLOW_FILE_EDIT」定数が「true」に設定されており、さらに新しいテーマやプラグインをアップロードする際にFTP認証情報の入力が必要な場合、通常は任意のPHPコードを実行する手段がないユーザーであっても、技術的にリモートコード実行(RCE)を行うことが可能です。この問題は、シングルサイトの管理者レベルユーザー及びマルチサイトのスーパー管理者レベルユーザーのみに影響が及びます。それ以外の権限が低いユーザーは影響を受けません。「DISALLOW_FILE_MODS」定数が「true」に設定されているサイトは影響を受けません。また、管理者ユーザーがFTP認証情報の入力が不要、または有効なFTP認証情報にアクセスできる場合も、この問題は発生しません。この問題は2024年1月30日にWordPress 6.4.3で修正されており、バージョン6.3.3、6.2.4、6.1.5、6.0.7、5.9.9、5.8.9、5.7.11、5.6.13、5.5.14、5.4.15、5.3.17、5.2.20、5.1.18、5.0.21、4.9.25、2.8.24、4.7.28、4.6.28、4.5.31、4.4.32、4.3.33、4.2.37、4.1.40にはバックポートされました。回避策として、「DISALLOW_FILE_MODS」定数を「true」に定義すると、全ユーザーによるプラグインのアップロードが不可能になり、この問題は悪用できなくなります。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年4月4日0:00 |
| 登録日 | 2026年1月9日16:24 |
| 最終更新日 | 2026年1月9日16:24 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| WordPress.org |
| WordPress 4.1.40 未満 |
| WordPress 4.2 以上 4.2.37 未満 |
| WordPress 4.3 以上 4.3.33 未満 |
| WordPress 4.4 以上 4.4.32 未満 |
| WordPress 4.5 以上 4.5.31 未満 |
| WordPress 4.6 以上 4.6.28 未満 |
| WordPress 4.7 以上 4.7.28 未満 |
| WordPress 4.8 以上 4.8.24 未満 |
| WordPress 4.9 以上 4.9.25 未満 |
| WordPress 5.0 以上 5.0.21 未満 |
| WordPress 5.1 以上 5.1.18 未満 |
| WordPress 5.2 以上 5.2.20 未満 |
| WordPress 5.3 以上 5.3.17 未満 |
| WordPress 5.4 以上 5.4.15 未満 |
| WordPress 5.5 以上 5.5.14 未満 |
| WordPress 5.6 以上 5.6.13 未満 |
| WordPress 5.7 以上 5.7.11 未満 |
| WordPress 5.8 以上 5.8.9 未満 |
| WordPress 5.9 以上 5.9.9 未満 |
| WordPress 6.0 以上 6.0.7 未満 |
| WordPress 6.1 以上 6.1.5 未満 |
| WordPress 6.2 以上 6.2.4 未満 |
| WordPress 6.3 以上 6.3.3 未満 |
| WordPress 6.4.0 以上 6.4.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月09日] 掲載 |
2026年1月9日16:24 |
| 概要 | WordPress is an open publishing platform for the Web. It's possible for a file of a type other than a zip file to be submitted as a new plugin by an administrative user on the Plugins -> Add New -> Upload Plugin screen in WordPress. If FTP credentials are requested for installation (in order to move the file into place outside of the `uploads` directory) then the uploaded file remains temporary available in the Media Library despite it not being allowed. If the `DISALLOW_FILE_EDIT` constant is set to `true` on the site _and_ FTP credentials are required when uploading a new theme or plugin, then this technically allows an RCE when the user would otherwise have no means of executing arbitrary PHP code. This issue _only_ affects Administrator level users on single site installations, and Super Admin level users on Multisite installations where it's otherwise expected that the user does not have permission to upload or execute arbitrary PHP code. Lower level users are not affected. Sites where the `DISALLOW_FILE_MODS` constant is set to `true` are not affected. Sites where an administrative user either does not need to enter FTP credentials or they have access to the valid FTP credentials, are not affected. The issue was fixed in WordPress 6.4.3 on January 30, 2024 and backported to versions 6.3.3, 6.2.4, 6.1.5, 6.0.7, 5.9.9, 5.8.9, 5.7.11, 5.6.13, 5.5.14, 5.4.15, 5.3.17, 5.2.20, 5.1.18, 5.0.21, 4.9.25, 2.8.24, 4.7.28, 4.6.28, 4.5.31, 4.4.32, 4.3.33, 4.2.37, and 4.1.40. A workaround is available. If the `DISALLOW_FILE_MODS` constant is defined as `true` then it will not be possible for any user to upload a plugin and therefore this issue will not be exploitable. |
|---|---|
| 公表日 | 2024年4月5日8:15 |
| 登録日 | 2024年4月5日10:00 |
| 最終更新日 | 2024年11月21日18:13 |