【CVE-2024-10310】Element Pack Elementor Addonsにクロスサイトスクリプティングの脆弱性、貢献者権限で任意のスクリプト実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Element Pack Elementorプラグインで脆弱性を発見
XSSの脆弱性により任意のスクリプトが実行可能
バージョン5.10.1以前が影響を受ける

Element Pack Elementor Addonsの脆弱性

WordPressプラグインのElement Pack Elementor Addonsにおいて、重大な脆弱性が2024年11月2日に公開された。Custom GalleryウィジェットのImage_titleパラメータにおいて、入力値の無害化処理と出力エスケープが不十分であることが判明しており、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。^[1]

脆弱性は【CVE-2024-10310】として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低く評価されており、攻撃に必要な特権レベルは低いものの、利用者の関与は不要とされている。

影響を受けるバージョンは5.10.1以前のElement Pack Elementor Addonsであり、WordFenceによって脆弱性の発見が報告されている。CVSSスコアは6.4（Medium）と評価されており、脆弱性が悪用された場合、影響範囲は変更される可能性があり、機密性と完全性に対して低レベルの影響が想定されている。

Element Pack Elementor Addonsの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-10310
影響を受けるバージョン	5.10.1以前
脆弱性の種類	クロスサイトスクリプティング（CWE-79）
CVSSスコア	6.4（Medium）
必要な権限	Contributor以上
影響範囲	機密性と完全性に対する低レベルの影響

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションにおける代表的な脆弱性の一つであり、攻撃者が悪意のあるスクリプトをWebページに埋め込むことができる状態を指す。主な特徴として、以下のような点が挙げられる。

ユーザーの入力値が適切にサニタイズされていない
出力時のエスケープ処理が不十分
Cookieの窃取やセッションハイジャックが可能

Element Pack Elementor Addonsの場合、Custom GalleryウィジェットのImage_titleパラメータにおいて入力値の無害化処理と出力エスケープが不十分であることが問題となっている。脆弱性が悪用された場合、認証済みユーザーによって注入されたWebスクリプトが、ページにアクセスしたユーザーのブラウザ上で実行される可能性がある。

Element Pack Elementor Addonsの脆弱性に関する考察

Element Pack Elementor Addonsの脆弱性対応における最大の利点は、WordFenceによる早期発見と報告により、深刻な被害が発生する前に対策を講じることが可能となった点である。しかしContributor以上の権限を持つユーザーによる攻撃が可能であることから、多くのユーザーが存在するサイトでは特に注意が必要となるだろう。

今後想定される問題として、この脆弱性を狙った攻撃ツールの出現や、他のElementorアドオンにおける同様の脆弱性の発見が懸念される。対策としては、プラグインの定期的なアップデートチェックの自動化やセキュリティスキャンの実施、また権限を持つユーザーアカウントの定期的な棚卸しが有効となるだろう。

WordPressエコシステムの発展に伴い、サードパーティ製プラグインのセキュリティ品質向上が今後の課題となる。開発者向けのセキュリティガイドラインの整備や、コミュニティによるコードレビューの促進など、エコシステム全体でのセキュリティ強化が期待される。