Published: 2025-05-14 08:00
WordPress 用プラグイン「The Drag and Drop Multiple File Upload for WooCommerce plugin for WordPress」に認証不要でリモートコード実行につながる任意ファイルアップロードの脆弱性
Wordfenceは現地時間5月8日、WordPress用プラグイン「The Drag and Drop Multiple File Upload for WooCommerce plugin for WordPress」におけるリモートコード実行につながる任意ファイルアップロードの脆弱性について発表した。5月9日にはThe MITRE CorporationがCVE-2025-4403として採番している。
当該脆弱性は、東京電機大学 工学部 情報通信工学科 齊藤泰一 研究室の大学院生 宮地麟氏が報告を行っている。影響を受けるシステムは以下の通り。
Drag and Drop Multiple File Upload for WooCommerce 1.1.6 までのすべてのバージョン
WordPress用プラグイン「The Drag and Drop Multiple File Upload for WooCommerce plugin for WordPress」には、upload() 関数内で実際の拡張子や MIME チェックを行わずにユーザが指定した supported_type 文字列とアップロードされたファイル名を受け付けるため、任意のファイルをアップロードされる脆弱性が存在する。
想定される影響としては、認証されていない攻撃者が影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性がある。
対策としては、バージョン1.1.7、またはパッチが適用された新しいバージョンへのアップデートが挙げられている。
| # | 言葉 | 意味 |
|---|---|---|
| 3 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 3 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 3 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 2 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 現地時間 | げんちじかん (現地時間) : local time |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | つながる | つながる (繋がる) : 1. to be tied together; to be connected to; to be linked to 2. to lead to; to be related to |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 採番 | さいばん (採番) : data index; (unique) index number |
| 1 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 1 | 東京電機大学 | とうきょうでんきだいがく (東京電機大学) : Tokyo Denki University (organization) |
| 1 | 工学部 | こうがくぶ (工学部) : department (or school) of technology, engineering or science |
| 1 | 情報通信 | じょうほうつうしん (情報通信) : telecommunications |
| 1 | 工学科 | こうがくか (工学科) : engineering department |
| 1 | 齊藤 | さいとう (齊藤) : Saitou (surname) |
| 1 | 泰一 | たいいち (泰一) : Taiichi (given) |
| 1 | 大学院生 | だいがくいんせい (大学院生) : graduate student |
| 1 | 宮地 | みやち (宮地) : grounds of a Shinto shrine |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | すべて | すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all |
| 1 | 関数 | かんすう (関数) : 1. function 2. function (programming) |
| 1 | 内 | うち (内) : 1. inside; within 2. while (e.g. one is young); during; within (e.g. a day); in the course of |
| 1 | 実際 | じっさい (実際) : 1. reality; actuality; truth; fact; actual conditions 2. practice (as opposed to theory) |
| 1 | 拡張子 | かくちょうし (拡張子) : filename extension |
| 1 | 指定 | してい (指定) : designation; specification; assignment; appointment; pointing at |
| 1 | 文字列 | もじれつ (文字列) : character string |
| 1 | ファイル名 | ファイルめい (ファイル名) : file-name |
| 1 | 受け付ける | うけつける (受け付ける) : 1. to accept; to receive (an application); to take up 2. to (be able to) take (food, medicine, etc.); to bear; to tolerate; to endure |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 想定 | そうてい (想定) : hypothesis; supposition; assumption |
| 1 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | 可能 | かのう (可能) : possible; potential; practicable; feasible |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 対策 | たいさく (対策) : measure; step; countermeasure; counterplan; countermove; strategy; preparation (e.g. for a test) |
| 1 | 適用 | てきよう (適用) : applying (e.g. a technology); adoption |