サイトアイコン Capital P

Elementorに脆弱性が発見、3.6.3へいますぐアップデートを

WordPressの人気プラグインElementorに脆弱性が発見された。CVSSスコア9.9(致命的)なので、3.6.0〜3.6.2を利用しているユーザーはいますぐアップデートしよう。

脆弱性を発見したのはWordPressのセキュリティサービスを提供するWordFence。説明によると、この脆弱性によって権限の低いユーザーでもオレオレプラグインをインストールできてしまうようだ。ファイル・インクルージョンが可能ならなんでもできてしまうので、評価通り致命的な脆弱性となるだろう。

Wordfenceの開示情報は次のとおり。まず自社サービス利用者にファイアウォールを提供し、その上で脆弱性情報をElementorに通知、反応がなかったのでWordPressプラグインチームに連絡したようだ。Wordfenceの無料ユーザーは4/28からファイアウォールを利用できるとのこと。

March 29, 2022 – We finish our investigation and deploy a firewall rule to protect Wordfence PremiumWordfence Care, and Wordfence Response customers. We send our full disclosure to the plugin developer’s official security contact.

April 5, 2022 – We follow up with the plugin developer’s security contact as we have not yet received a response.

April 11, 2022 – We send our full disclosure to the WordPress Plugins team.

April 12, 2022 – A patched version of Elementor is released.

April 28, 2022 – The firewall rule becomes available to free Wordfence users.

Wordfence”Critical Remote Code Execution Vulnerability in Elementor

ちなみにこの情報に日本語でいち早く気づいたのは、筆者の知る限り石鷹氏である。

フォローしておくと、今後もWordPress脆弱性情報を教えてくれるかもしれない。

モバイルバージョンを終了