【CVE-2024-9868】Element Pack Elementor Addonsに脆弱性、クロスサイトスクリプティング攻撃のリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Element Pack Elementorプラグインの脆弱性を確認
バージョン5.10.1までのAge Gate機能に問題
認証済みユーザーによる悪意のあるスクリプト実行が可能

Element Pack Elementor Addonsバージョン5.10.1の脆弱性

Wordfenceは2024年11月2日、WordPressプラグインElement Pack Elementor Addonsのバージョン5.10.1以前に存在する脆弱性情報【CVE-2024-9868】を公開した。Age Gate Widgetの「url」パラメータにおける入力サニタイズと出力エスケープが不十分であることが判明し、悪意のあるスクリプトが注入される可能性が指摘されている。^[1]

脆弱性の深刻度はCVSSスコアで5.4（Medium）と評価されており、攻撃者は認証済みユーザー（Contributor以上の権限）である必要があるものの、攻撃の複雑さは低いとされている。被害を受けた場合、ページにアクセスするユーザーの情報が漏洩する可能性があるため、早急な対応が必要だ。

この脆弱性はCWE-79（クロスサイトスクリプティング）に分類されており、攻撃者がページに任意のWebスクリプトを挿入できる状態にある。CVSSベクトルによると、攻撃元区分はネットワーク経由であり、ユーザーの操作を必要とするものの、スコープの変更を伴う影響があるとされている。

Element Pack Elementor Addonsの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-9868
影響を受けるバージョン	5.10.1以前
脆弱性の種類	CWE-79（クロスサイトスクリプティング）
CVSSスコア	5.4（Medium）
必要な権限	Contributor以上
攻撃の複雑さ	Low

クロスサイトスクリプティングについて

クロスサイトスクリプティングとは、Webアプリケーションに悪意のあるスクリプトを注入する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

ユーザーの入力値が適切にサニタイズされずにHTML出力される
攻撃者が任意のJavaScriptコードを実行可能
セッションハイジャックやフィッシング詐欺に悪用される

Element Pack Elementor AddonsのAge Gate Widgetにおける脆弱性は、「url」パラメータの入力値に対するサニタイズが不十分であることに起因している。WordPressサイトの管理者は、プラグインを最新バージョンにアップデートするか、対策が施されるまでAge Gate機能の使用を一時的に停止することが推奨される。

Element Pack Elementor Addonsの脆弱性に関する考察

WordPressプラグインの脆弱性は、サイト全体のセキュリティに大きな影響を及ぼす可能性があるため、開発者の迅速な対応が求められる。Element Pack Elementor Addonsの場合、Age Gate機能という特定の機能に限定された脆弱性であり、Contributor以上の権限が必要となることから、被害の拡大は比較的抑制されると考えられる。

しかし、WordPressの利用者の多くは複数のプラグインを併用しており、それぞれの脆弱性が組み合わさることで、より深刻な被害につながる可能性がある。プラグイン開発者には、入力値のバリデーションやサニタイズ処理の徹底、定期的なセキュリティ監査の実施が望まれるだろう。

長期的な対策としては、WordPressコミュニティ全体でセキュリティ意識を高め、プラグイン開発時のセキュリティガイドラインの整備や、脆弱性を早期に発見できる仕組みの構築が必要となる。プラグインの審査基準の厳格化や、セキュリティ対策の標準化によって、より安全なエコシステムが実現できるはずだ。