WordPressの人気プラグインElementorに脆弱性が発見された。CVSSスコア9.9(致命的)なので、3.6.0〜3.6.2を利用しているユーザーはいますぐアップデートしよう。
脆弱性を発見したのはWordPressのセキュリティサービスを提供するWordFence。説明によると、この脆弱性によって権限の低いユーザーでもオレオレプラグインをインストールできてしまうようだ。ファイル・インクルージョンが可能ならなんでもできてしまうので、評価通り致命的な脆弱性となるだろう。
Wordfenceの開示情報は次のとおり。まず自社サービス利用者にファイアウォールを提供し、その上で脆弱性情報をElementorに通知、反応がなかったのでWordPressプラグインチームに連絡したようだ。Wordfenceの無料ユーザーは4/28からファイアウォールを利用できるとのこと。
March 29, 2022 – We finish our investigation and deploy a firewall rule to protect Wordfence Premium, Wordfence Care, and Wordfence Response customers. We send our full disclosure to the plugin developer’s official security contact.
April 5, 2022 – We follow up with the plugin developer’s security contact as we have not yet received a response.
April 11, 2022 – We send our full disclosure to the WordPress Plugins team.
April 12, 2022 – A patched version of Elementor is released.
April 28, 2022 – The firewall rule becomes available to free Wordfence users.
Wordfence”Critical Remote Code Execution Vulnerability in Elementor“
ちなみにこの情報に日本語でいち早く気づいたのは、筆者の知る限り石鷹氏である。
フォローしておくと、今後もWordPress脆弱性情報を教えてくれるかもしれない。