2023 年 5 月 11 日、WordPressプラグインEssential Addons for Elementorの脆弱性に対応したパッチバージョン5.7.2がリリースされました。このリリースでパッチが当たった脆弱性はCVSS 3.1スコア9.8(Critical)と判定されています。
このプラグインは、ページビルダーツールとして人気のプラグイン「Elementor Website Builder」の拡張機能をまとめたアドオンライブラリです。有効ダウンロード数は100万件を超えています。
脆弱性は、同プラグインのバージョン5.7.1以前が対象です。クリティカルと判定された脆弱性は、認証されていないユーザーが、管理者権限を含む任意のユーザーアカウントのパスワードをリセットできるというものです。
この脆弱性を悪用すると、ユーザー名を分かっていればあらゆるユーザーのパスワードをリセットすることが可能となり、管理者のパスワードをリセットすることでそのアカウントにログインできるようになります。
5月17日付のWordfenceの報告によると、過去数日間、プラグインのreadme.txtファイルに対する数百万件の調査試行が確認されており、これはプラグインの存在を調査している可能性が高いとのこと。また、同プラグインをバージョン5.7.2へアップデートしていない場合、攻撃にあった場合の兆候として、サイト管理者が正しいパスワードでログインできないことや不正なユーザーの追加等の兆候があるとされています。
対応策として、まずは対象プラグインのアップデートを行うこと、不正アクセスの兆候が見られる場合は、プラグインアップデート後にユーザーの確認を行うと共に、パスワードの変更をすることをお勧めします。また、インストールした覚えのないテーマやプラグインの有無の確認をし、不要なものやインストールした覚えのないものは削除することをお勧めします。
参考:Wordfence 脆弱性情報:Essential Addons for Elementor プラグイン
カテゴリ:
タグ: