

WordPressプラグイン 「InPost PL」のバージョン 1.4.4 以前と、 「InPost for WooCommerce」 のバージョン 1.4.0 以前に、深刻なセキュリティ脆弱性が発見されました。この脆弱性は、認証の欠如に起因し、WordPress管理サイトへのアクセス権限がなくても、任意のファイルが読み取られ、さらには削除されてしまうため、ウェブサイトだけでなく、サーバそのものが乗っ取られてしまう恐れがあります。

  • InPost PLは、直ちに対策バージョン 1.4.5 以降に更新してください。
  • InPost for WooCommerce は、2024年8月17日現在、この脆弱性への対策版がまだリリースされていないため、セキュリティリスクを考慮し、直ちにこのプラグインの削除を強く推奨します。削除できない事情がある場合には、専門家等にご相談ください。
  • アクセスログを キーワード ‘easypack_file’ で検索し、不正なアクセスの形跡が見つかった場合には、直ちにセキュリティ専門家等にご相談ください。
(1)サイトの wp-config.php ファイルを含むサーバー上の任意のファイルを読み取り・削除
(2)wp-config.php ファイルが削除されることで、サイトが初期セットアップ状態に戻り、攻撃者がデータベースに接続して制御を奪取する可能性
影響を受けるバージョンInPost PL 1.4.4 を含む、それ以前のバージョン
InPost for WooCommerce 1.4.0 を含む、それ以前のバージョン
脆弱性情報 (CVE-ID / 公開日)CVE-2024-6500 / 2024/08/17
脆弱性の深刻度 (CVSS v3)基本値: 10.0 (深刻)  [Wordfence]


「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート



プラグイン InPost PL をご利用されており、まだ対策バージョンに更新されていない場合 もしくは InPost for WooCommerce をご利用されている場合、メールにて順次ご案内しております。

最新版 バージョン1.5.0
対象 WordPress バージョン5.3 またはそれ以降
検証済み最新バージョン : 6.6.1
プラグイン ページInPost PL – WordPress プラグイン | 日本語
開発者 ページiLabs – WordPress & WooCommerce experts
最新版 バージョン1.4.1
告知このプラグインの公開は2024年8月8日に停止されており、ダウンロードできません。 この公開停止は一時的なもので、完全なレビューを待っている状態です。
対象 WordPress バージョン検証済み最新バージョン : 6.1.7
有効インストール数4,000+ (2023/12/27時点)
プラグイン ページInPost for WooCommerce – WordPress プラグイン | 日本語