こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年1月にWordPressのプラグイン「Essential Addons for Elementor」のセキュリティアップデートがリリースされました。本リリースはプラグインのローカルファイルインクルード脆弱性に対応するものです。
脆弱性の危険度が高く、アメリカ国立標準技術研究所の脆弱性データベースではCriticalとなっています。
https://nvd.nist.gov/vuln/detail/CVE-2022-0320
WordPressで該当プラグインを有効にしている状態で、この脆弱性を悪用されると、サーバー内の意図しないファイルを読み込まれてしまい、機密情報を盗まれてしまったり、最悪の場合、他の攻撃手法と組み合わせることでサーバーを乗っ取られてしまう可能性もあります。
「Essential Addons for Elementor」とは
「Essential Addons for Elementor」は「Elementor」プラグインで使用できる汎用的な要素(Element)を集めたアドオンです。
「Elementor」は、サイトをドラッグ&ドロップで直感的にカスタマイズできるプラグインです。WordPressのプラグインページによると2022年2月現在で500万以上のサイトでアクティベートされるほどの人気があります。
「Essential Addons for Elementor」を導入することでタイムライン形式の記事一覧画面やアコーディオンメニューなどの要素を「Elementor」の編集画面から追加できるようになります。
脆弱性の対象となるバージョン
修正が適用される前の Essential Addons for Elementor 5.0.4 およびそれ以前のバージョンは本脆弱性の影響を受ける可能性があります。
Webサイトへの影響について
WordPressでプラグイン「Essential Addons for Elementor」を有効化している場合は本脆弱性の影響を受ける可能性があるため、プラグインのインストール状況、バージョンを確認する必要があります。
インターネットを通じて細工されたリクエストを送ることで攻撃できてしまうため、プラグインを使っていないようであれば取り急ぎ無効化しておくことをお勧めします。
脆弱性の対策
対策としては、WordPressのプラグイン「Essential Addons for Elementor」を5.0.5以上にアップデートする形になります。WordPressのプラグイン画面から該当プラグインのアップデート有無を確認することをお勧めします。
さいごに
WordPressが人気な理由の一つに今回話題に上がったような人気プラグインによる拡張性の高さがあげられます。
一方でWordPress本体だけでなく個々のプラグインにも脆弱性を狙われるリスクがあり、日々のセキュリティアップデートが重要になります。
弊社では日々WordPressおよびプラグインのセキュリティ情報をチェックしており、お客様のサーバーで利用しているプラグインについては検証、本番それぞれの環境でアップデートを代行可能です。
リリース後のWordPressサイトのセキュリティ情報のチェックが追いつかない場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
