【CVE-2024-9867】Element Pack Elementor Addonsに深刻な脆弱性、Contributor権限での任意スクリプト実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Element Pack Elementorアドオンに脆弱性が発見
Contributor以上の権限で任意のスクリプト実行が可能
バージョン5.10.2までが影響を受ける

Element Pack Elementor Addonsの深刻な脆弱性

WordPressのElement Pack Elementor Addonsプラグインにおいて、Open Map Widgetのmarker_contentパラメータに関する深刻な脆弱性が2024年11月5日に報告された。この脆弱性は【CVE-2024-9867】として識別されており、バージョン5.10.2以下のすべてのバージョンで確認されている。^[1]

この脆弱性は入力値の不適切なサニタイズと出力のエスケープ処理の不備に起因しており、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入することを可能にしている。注入されたスクリプトは影響を受けるページにアクセスした際に実行される可能性があるため、早急な対応が必要だ。

CVSSスコアは5.4（Medium）と評価されており、攻撃者は特権が必要で、ユーザーの操作も必要とされる。影響範囲は限定的であるものの、機密性と完全性に対する影響が想定されており、深刻な被害につながる可能性がある。

Element Pack Elementor Addonsの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-9867
影響を受けるバージョン	5.10.2以下の全バージョン
脆弱性の種類	Stored Cross-Site Scripting
CVSSスコア	5.4（Medium）
必要な権限	Contributor以上
影響	機密性と完全性への影響

Stored Cross-Site Scriptingについて

Stored Cross-Site Scriptingとは、Webアプリケーションの脆弱性の一つで、悪意のあるスクリプトがサーバーに保存され、後でそのページにアクセスした他のユーザーの環境で実行される攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

サーバーに永続的にスクリプトが保存される
複数のユーザーに影響を及ぼす可能性がある
セッションハイジャックやデータ窃取のリスクがある

Element Pack Elementor Addonsの脆弱性では、Open Map Widgetのmarker_contentパラメータを介してスクリプトを注入することが可能となっている。この脆弱性は入力値の適切なサニタイズ処理とエスケープ処理が実装されていないことに起因しており、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態となっている。

Element Pack Elementor Addonsの脆弱性に関する考察

この脆弱性の深刻さは、Contributor権限という比較的取得しやすい権限レベルで攻撃が可能な点にある。WordPressサイトでは投稿者としての権限を持つユーザーが多く存在することから、潜在的な攻撃者のプールが大きいと考えられる。特に多くのユーザーが存在する大規模サイトでは、攻撃の影響範囲が広がる可能性が高いだろう。

今後は入力値のバリデーションとサニタイズ処理の強化が必要不可欠となる。特にマークアップやスクリプトが含まれる可能性のあるパラメータに対しては、厳格なホワイトリスト方式での制御や、HTMLパーサーを使用した適切なエスケープ処理の実装が望まれる。また、プラグインの開発者はセキュリティテストの強化とコードレビューの徹底が求められるだろう。

この事例を教訓として、WordPressプラグイン開発におけるセキュリティ対策の重要性が再認識される。特にユーザー入力を扱うコンポーネントでは、入力値の検証と出力のエスケープ処理を徹底することが重要だ。また、プラグインのアップデート適用の自動化や、定期的なセキュリティ監査の実施など、運用面での対策も検討する必要がある。