Elementor 深刻な脆弱性が発覚していた!
Elementorに脆弱性!
英語でいうところの”Vulnerability”、日本語では脆弱性と訳されることが多いと思いますが、 Wordfenceによるとリモートで実行可能な深刻な脆弱性がElementor 3.6.0に発見 されたことが複数の海外のウェブサイトで報告されています。
何がまずかったのか?
Wordfenceの記事によると 、3.6.0から実装された初期インストールの処理を軽減させる新たな試みのOnboarding moduleという部分にWordpressプラグインに必要なユーザーレベルチェックの仕組みが組み込まれていなく、いかなるユーザーレベルでもphpファイルをアップロードして実行する権限が与えられてしまっているということです。
なんかすごくマズい感じ。
発覚の経路
Wordfenceは本当に心強いなと思ったのが時系列の報告。
3月29日 に問題を発見したWordfenceは4月5日までElementorの公式テクニアカルサポートにメールを送り続けた。
4月11日 になっても返信がこなかったためWordpressのプラグインチームに問題を開示。
4月12日 にパッチのあたったElementor 3.6.3がリリースされた。
実に2週間はこの問題が放置されていたことになります。
ちょっとElementorのチェンジログ を見てみると、なるほど3.6.3へ更新が行われたときに大量にOnboarding Wizardというワードが出てきています。
どうしたらいいのか?
即刻アップデートしてください 。非常に危険な匂いがします。
対象はElementor 3.6.0から3.6.2です、危険です。
この記事を書いている時点で最新のElementor 3.6.4は大丈夫です。
Wordfenceという安心感
今回はWordfenceがかなり早い段階で問題を指摘していました。解析内容も非常に説得力のあるものです。
今回の対応策として有料ユーザーには3月29日時点ですでにWordfenceのファイヤーウォール機能にプロテクト機能を追加していたようです。
無料版のWordfenceユーザーには4月28日に同等の機能を公開するそうです。
-
Elementor 深刻な脆弱性が発覚していた!の関連リンク
