セキュリティ

SECURITY

公開：2025-03-11

【CVE-2024-13622】WooCommerce File Uploads Addonに深刻な脆弱性、顧客データの漏洩リスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WooCommerceプラグインのFile Uploads Addonに情報漏洩の脆弱性
• バージョン1.7.1以前の全バージョンが影響を受ける
• 未認証の攻撃者が顧客のアップロードファイルにアクセス可能

WooCommerce File Uploads Addonの深刻な脆弱性

WordfenceはWordPress用のWooCommerce File Uploads Addonプラグインにおいて、バージョン1.7.1以前の全バージョンに情報漏洩の脆弱性が存在することを2025年2月18日に公開した。この脆弱性により、未認証の攻撃者がuploadsディレクトリを介して顧客がアップロードした機密ファイルに不正にアクセスできる状態となっている。^[1]

この脆弱性は【CVE-2024-13622】として識別されており、CWEによる脆弱性タイプは権限のない行為者への機密情報の露出（CWE-200）に分類されている。NVDの評価によると、CVSSスコアは7.5（High）であり、攻撃元区分はネットワーク、攻撃条件の複雑さは低く、特権は不要とされている。

影響を受けるプラグインはimagisolが開発したFile Uploads Addon for WooCommerceで、wp-content/uploadsディレクトリ内に保存された顧客のファイル添付が危険にさらされている。この脆弱性はディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

WooCommerce File Uploads Addonの脆弱性詳細

機密情報の露出について

機密情報の露出とは、システムやアプリケーションが意図せずに機密データを外部に開示してしまう脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• 権限のないユーザーが機密情報にアクセス可能になる
• データの漏洩や悪用のリスクが高まる
• 個人情報や機密文書が第三者に閲覧される可能性がある

この脆弱性は、WooCommerce File Uploads Addonにおいて、uploadsディレクトリの保護が不十分であることにより発生している。未認証の攻撃者がネットワークを通じて容易にアクセス可能であり、顧客が提出した機密性の高いファイルが漏洩する危険性がある。

WooCommerce File Uploads Addonの脆弱性に関する考察

eコマースプラットフォームにおいて顧客のファイル管理は極めて重要な機能であり、今回の脆弱性は深刻な影響をもたらす可能性がある。特にアップロードされたファイルには個人情報や機密情報が含まれている可能性が高く、未認証の攻撃者による情報漏洩は企業の信頼性を大きく損なう結果となるだろう。

この問題の解決には、アップロードディレクトリへのアクセス制御の強化と、ファイルの暗号化などの多層的なセキュリティ対策が必要となる。同時にファイルの保存場所を外部のセキュアなストレージサービスに移行することで、より堅牢なセキュリティ体制を構築できる可能性がある。

今後はプラグイン開発時における包括的なセキュリティレビューの実施が不可欠となる。特にファイル操作に関連する機能については、開発段階から潜在的な脆弱性を洗い出し、適切な対策を講じることが重要だ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13622, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧