WordPressのプラグイン「Essential Addons for Elementor」にローカルファイルインクルードの脆弱性が発見されました

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年1月にWordPressのプラグイン「Essential Addons for Elementor」のセキュリティアップデートがリリースされました。本リリースはプラグインのローカルファイルインクルード脆弱性に対応するものです。

脆弱性の危険度が高く、アメリカ国立標準技術研究所の脆弱性データベースではCriticalとなっています。

https://nvd.nist.gov/vuln/detail/CVE-2022-0320

WordPressで該当プラグインを有効にしている状態で、この脆弱性を悪用されると、サーバー内の意図しないファイルを読み込まれてしまい、機密情報を盗まれてしまったり、最悪の場合、他の攻撃手法と組み合わせることでサーバーを乗っ取られてしまう可能性もあります。

「Essential Addons for Elementor」とは

「Essential Addons for Elementor」は「Elementor」プラグインで使用できる汎用的な要素(Element)を集めたアドオンです。

「Elementor」は、サイトをドラッグ&ドロップで直感的にカスタマイズできるプラグインです。WordPressのプラグインページによると2022年2月現在で500万以上のサイトでアクティベートされるほどの人気があります。

「Essential Addons for Elementor」を導入することでタイムライン形式の記事一覧画面やアコーディオンメニューなどの要素を「Elementor」の編集画面から追加できるようになります。

脆弱性の対象となるバージョン

修正が適用される前の Essential Addons for Elementor 5.0.4 およびそれ以前のバージョンは本脆弱性の影響を受ける可能性があります。

Webサイトへの影響について

WordPressでプラグイン「Essential Addons for Elementor」を有効化している場合は本脆弱性の影響を受ける可能性があるため、プラグインのインストール状況、バージョンを確認する必要があります。

インターネットを通じて細工されたリクエストを送ることで攻撃できてしまうため、プラグインを使っていないようであれば取り急ぎ無効化しておくことをお勧めします。

脆弱性の対策

対策としては、WordPressのプラグイン「Essential Addons for Elementor」を5.0.5以上にアップデートする形になります。WordPressのプラグイン画面から該当プラグインのアップデート有無を確認することをお勧めします。

さいごに

WordPressが人気な理由の一つに今回話題に上がったような人気プラグインによる拡張性の高さがあげられます。

一方でWordPress本体だけでなく個々のプラグインにも脆弱性を狙われるリスクがあり、日々のセキュリティアップデートが重要になります。

弊社では日々WordPressおよびプラグインのセキュリティ情報をチェックしており、お客様のサーバーで利用しているプラグインについては検証、本番それぞれの環境でアップデートを代行可能です。

リリース後のWordPressサイトのセキュリティ情報のチェックが追いつかない場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

SiteCloudのサービス内容を記載した資料をダウンロードできます。
SiteCloudの機能や事例が分かる
無料資料ダウンロード
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close