Elementor 深刻な脆弱性が発覚していた!

最新3.6.4以降が入っていれば大丈夫みたい
Elementor ページビルダー
Minoru Nitta
Minoru Nitta
グラフィックデザイナー・フォトグラファー
このエントリーをはてなブックマークに追加

Elementor 深刻な脆弱性が発覚していた!

Elementorに脆弱性!

 英語でいうところの”Vulnerability”、日本語では脆弱性と訳されることが多いと思いますが、 Wordfenceによるとリモートで実行可能な深刻な脆弱性がElementor 3.6.0に発見 されたことが複数の海外のウェブサイトで報告されています。

何がまずかったのか?

 Wordfenceの記事によると3.6.0から実装された初期インストールの処理を軽減させる新たな試みのOnboarding moduleという部分にWordpressプラグインに必要なユーザーレベルチェックの仕組みが組み込まれていなく、いかなるユーザーレベルでもphpファイルをアップロードして実行する権限が与えられてしまっているということです。

 なんかすごくマズい感じ。

発覚の経路

 Wordfenceは本当に心強いなと思ったのが時系列の報告。

3月29日 に問題を発見したWordfenceは4月5日までElementorの公式テクニアカルサポートにメールを送り続けた。

4月11日 になっても返信がこなかったためWordPressのプラグインチームに問題を開示。

4月12日 にパッチのあたったElementor 3.6.3がリリースされた。

 実に2週間はこの問題が放置されていたことになります。

 ちょっとElementorのチェンジログ を見てみると、なるほど3.6.3へ更新が行われたときに大量にOnboarding Wizardというワードが出てきています。

どうしたらいいのか?

 即刻アップデートしてください 。非常に危険な匂いがします。

 対象はElementor 3.6.0から3.6.2です、危険です。

 この記事を書いている時点で最新のElementor 3.6.4は大丈夫です。

Wordfenceという安心感

 今回はWordfenceがかなり早い段階で問題を指摘していました。解析内容も非常に説得力のあるものです。

 今回の対応策として有料ユーザーには3月29日時点ですでにWordfenceのファイヤーウォール機能にプロテクト機能を追加していたようです。

 無料版のWordfenceユーザーには4月28日に同等の機能を公開するそうです。