Elementor3.18.1で脆弱性が発見される!
WordPressページビルダープラグインElementor
ElementorはWordpress用のプラグインで非常に柔軟で使いやすく、筆者も多くのサイトにインストールしています。
Elementor3.18.1で脆弱性が発見される
そんなElementorに非常に危険度の高い脆弱性が発見されました。
筆者のケースではWordfenceの定期的なサイトスキャンで指摘され脆弱性に気づきました。
CVSSは8.8と非常に高い危険度とされています。
説明を要約すると、
Elementorプラグインは、バージョン3.18.1までのすべてのバージョンで、テンプレートのインポート機能を介してファイルのアップロードによる遠隔コード実行の脆弱性が存在する可能性がある。これにより、対話型の攻撃者が寄稿者レベルのアクセス権限以上を持っている場合、ファイルをアップロードし、サーバー上でコードを実行することが可能。
直近の24時間で2回のアタックをWordfenceは防いだとしています。
Elementor脆弱性への対策
問題が指摘されてからすぐにElementorは問題を解消した3.18.2をリリースしています。
直ちにElementor 3.18.2への更新が推奨されます。
テンプレートのアップロード機能に問題があるとされているので、根本を改善しないとどうにもならない問題です。
-
Elementor3.18.1で脆弱性が発見される!の関連リンク
