脆弱性情報 公開日:
WordPress脆弱性情報:Elementor プラグイン(Elementor Website Builder)
Elementorプラグイン(Elementor Website Builder)において、ハイリスクな脆弱性の存在が確認されました。
WordPressプラグインの脆弱性情報です。(12/8PM:内容更新あり)
Elementor プラグインに、脆弱性存在の報告
Elementorプラグイン(Elementor Website Builder)において、ハイリスクな脆弱性の存在が確認されました。
Elementorは、サイトビルダーとして人気のプラグインで、有効ダウンロード数が500万件以上となっています。
確認された脆弱性はCVSS 3.1スコア8.8(Wordfence)とされており、ハイリスクなものとされています。
開示された脆弱性の内容は任意のファイルのアップロードで、寄稿者以上の権限を持つ攻撃者により実行できる可能性があります。
影響を受けるバージョン
影響を受けるバージョンは、3.18.1以前のバージョンです。
完全パッチバージョン
脆弱性の存在箇所について修正がなされたバージョンはバージョン3.18.2です。
12/08追記:Wordfenceでは12月6日にこの脆弱性情報を公開、同日にプラグイン開発元より対応版としてバージョン3.18.1がリリースされていましたが、完全なパッチではなかったとのことです。12月8日に3.18.2がリリースされ十分なパッチが当たったと報告されています。
CVE ID
CVE-2023-48777
今回脆弱性が報告されたプラグインのページはこちらです。
参考サイト: Wordfence・脆弱性情報