脆弱性の概要

• プラグイン/テーマ名: WP Travel Engine – Tour Booking Plugin – Tour Operator Software
• 影響バージョン: 6.6.7 以下
• 脆弱性タイプ: Unauthenticated Local File Inclusion
• CVE ID: CVE-2025-7634
• 重大度: クリティカル
• 公式ページURL: https://wordpress.org/plugins/wp-travel-engine/

脆弱性の解説

今回お伝えするのは、WordPressプラグイン「WP Travel Engine – Tour Booking Plugin – Tour Operator Software」における深刻な脆弱性についてです。

この脆弱性は、認証されていないユーザーがローカルファイルを不正に読み込むことができる「Unauthenticated Local File Inclusion」と呼ばれるものです。

攻撃者は、この脆弱性を利用して、サーバー上の機密情報にアクセスする可能性があります。

具体的には、サーバーの設定ファイルやユーザー情報が含まれるファイルを読み取ることができ、これによりシステム全体のセキュリティが脅かされる危険性があります。

脆弱性の背景

この脆弱性は、ファイルの取り扱いに関する不適切な入力検証が原因で発生しました。

WordPressプラグインは多くのユーザーに利用されており、そのため脆弱性が発見されると影響が大きくなります。

過去にも同様の脆弱性が他のプラグインで発見されており、開発者は常にセキュリティの強化に努める必要があります。

対策方法と影響

この脆弱性を修正するためには、プラグインをバージョン6.6.8にアップデートすることが推奨されます。

アップデートを行わない場合、攻撃者によってサーバー上の機密情報が漏洩するリスクが高まります。

そのため、早急に対応することが重要です。

専門用語の解説

• Unauthenticated Local File Inclusion: 認証されていないユーザーが、サーバー上のローカルファイルを不正に読み込むことができる脆弱性の一種です。
• CVSS: 共通脆弱性評価システムの略で、脆弱性の深刻度を評価するための基準です。
• CVE: 共通脆弱性識別子の略で、特定の脆弱性に対して一意に割り当てられる識別番号です。

情報元