WordPress脆弱性情報：Visual Composer Website Builderプラグイン

WordPressプラグインの脆弱性情報です。

Visual Composer Website Builderプラグインに、脆弱性存在の報告

Visual Composer Website Builderプラグインにおいて、脆弱性の存在が確認されました。

人気のあるサイトビルダープラグインで、有効インストール数8万件を超えるプラグインで、日本でもユーザーは多いプラグインです。

開示された脆弱性は、CVSS 3.1スコア6.4、中程度のものです。

脆弱性の内容は、格納型XSS（クロスサイトスクリプティング）で、認証されたユーザーによって複数の方法での攻撃が可能であったことが確認されました。

影響を受けるバージョン

脆弱性の影響を受けるプラグインのバージョンは、45.0以前のバージョンです。

完全パッチバージョン

2022年8月30日現在では、パッチバージョンがリリースされていません。

現状の対応方法としては、権限の低いユーザーに対してはVisual Composer エディタへのアクセスを制限することをお勧めします。

パッチバージョンのリリース情報をこまめにチェックし、リリース後速やかにアップデートしましょう。

プラグインのページはこちら

プラグインの性質から、このプラグインを無効化またはアンインストールする場合は、ページの表示に影響が出る可能性が高いのでご注意ください。

CVE-ID

CVE-2022-2430, CVE-2022-2516

今回はWPBakery Page Builderの脆弱性ではない

今回脆弱性が確認された、Visual Composer Website Builderは、WPBakery Page Builderとは異なるプラグインです。

もともと、同じ開発元(visualcomposer.com)がVisual Composer Page Builderという人気プラグインを開発しましたが、これは名称変更されWPBakery Page Builderになりました。

その後、同開発元がWPBakery Page Builderという新製品をリリースしました。今回の脆弱性はWPBakeryではなく、これに関するものです。

旧Visual Composerの名称へ変更と、WPBakery Page Builderのリリースはとても分かりにくいもので、当初ユーザーはとても混乱しました。

どちらを使っているか再確認することをお勧めします。