【CVE-2024-51582】WP Hotel Booking 2.1.4にパストラバーサル脆弱性が発見、重大な情報漏洩のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

WP Hotel Booking 2.1.4以前に脆弱性が発見
ローカルファイルインクルージョンの脆弱性が存在
CVSSスコア7.5のハイリスク脆弱性として報告

WP Hotel Booking 2.1.4のパストラバーサル脆弱性

ThimPress社が開発するWordPressプラグイン「WP Hotel Booking」において、2.1.4以前のバージョンでローカルファイルインクルージョンの脆弱性が発見された。この脆弱性は【CVE-2024-51582】として識別されており、パストラバーサルを利用した攻撃が可能となっている。^[1]

この脆弱性はCVSSスコアが7.5と評価され、高リスクな脆弱性として分類されている。攻撃の条件としては、ネットワークからのアクセスが必要であり、攻撃の複雑性は高いものの、特権レベルは低く設定されており、ユーザーの操作なしで攻撃が可能となっている。

脆弱性の影響範囲として、機密性・完全性・可用性のすべてにおいて高い影響度が報告されている。Patchstack Allianceの研究者ghsinfosecによって発見されたこの脆弱性は、ホテル予約システムのセキュリティに重大な影響を及ぼす可能性がある。

WP Hotel Booking 2.1.4の脆弱性詳細

項目	詳細
脆弱性ID	CVE-2024-51582
影響を受けるバージョン	2.1.4以前
CVSSスコア	7.5（High）
攻撃条件	ネットワークアクセス、低特権、ユーザー操作不要
影響範囲	機密性・完全性・可用性への高度な影響

脆弱性の詳細についてはこちら

パストラバーサルについて

パストラバーサルとは、Webアプリケーションにおいてファイルパスを操作し、本来アクセスできないディレクトリやファイルにアクセスする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

ディレクトリトラバーサル文字列による不正アクセス
システムファイルの漏洩リスク
任意のファイル実行の可能性

WP Hotel Booking 2.1.4以前のバージョンで発見されたパストラバーサル脆弱性は、「../../../」のような特殊な文字列を使用することで、本来アクセスできないファイルやディレクトリへのアクセスを可能にする。この脆弱性は特権レベルが低くても攻撃が可能であり、システム全体のセキュリティを脅かす深刻な問題となっている。

WP Hotel Booking 2.1.4の脆弱性に関する考察

WP Hotel Booking 2.1.4以前のバージョンに存在する脆弱性は、ホテル予約システムを運営するWebサイトにとって深刻な影響をもたらす可能性がある。特に機密性・完全性・可用性のすべてにおいて高い影響度が報告されていることから、顧客情報の漏洩やシステムの改ざんなど、ビジネスに直接的な被害をもたらす可能性が高いだろう。

今後の対策として、開発者側では入力値のバリデーション強化やファイルパスの正規化処理の実装が必要となる。特にWordPressプラグインのセキュリティ管理は複雑化しており、継続的なセキュリティアップデートと脆弱性診断の実施が不可欠になってくるだろう。

また、プラグインのユーザーは速やかなバージョンアップデートの実施が推奨される。ホテル予約システムは顧客の個人情報を扱う重要なシステムであり、セキュリティ対策の優先度を上げて運用していく必要があるだろう。