【CVE-2024-48045】Happy Elementor Addonsにアクセス制御の脆弱性が発見、バージョン3.12.4で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Happy Elementor Addonsに認可の欠如問題が発見
バージョン3.12.3以前に影響するアクセス制御の脆弱性
バージョン3.12.4で修正されセキュリティが向上

Happy Elementor Addonsの認可機能における脆弱性問題

Patchstack OÜは2024年11月1日にWordPress用プラグインHappy Elementor Addonsにおいて認可機能に関する脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-48045】として識別されており、バージョン3.12.3以前のすべてのバージョンに影響を与えることが判明している。^[1]

この脆弱性はCWE-862として分類される認可機能の欠如に関する問題であり、アクセス制御の設定が不適切な状態になっていることが明らかになった。CVSSスコアは4.3で中程度の深刻度とされているが、ネットワークからの攻撃が容易であることから早急な対応が求められている。

Leevioは本脆弱性に対する対策としてバージョン3.12.4をリリースし、アクセス制御に関する問題を修正した。Patchstackの研究者Rafie Muhammadによって発見されたこの脆弱性は、適切な認可処理の実装によって解決されている。

Happy Elementor Addonsの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-48045
影響を受けるバージョン	3.12.3以前のすべてのバージョン
脆弱性の種類	アクセス制御の欠如（CWE-862）
CVSSスコア	4.3（MEDIUM）
修正バージョン	3.12.4

脆弱性の詳細はこちら

アクセス制御について

アクセス制御とは、システムやリソースへのアクセスを管理・制限するためのセキュリティメカニズムのことを指す。主な特徴として以下のような点が挙げられる。

ユーザーの権限に基づいたリソースへのアクセス制限
不正アクセスからシステムを保護する機能
認証と認可の両方を含む包括的なセキュリティ管理

Happy Elementor Addonsで発見された脆弱性は、アクセス制御の設定が不適切であったことに起因している。CVSSスコアによると攻撃条件の複雑さは低く設定されており、特権レベルの要求は低いものの完全性への影響は限定的であることが示されている。

Happy Elementor Addonsの脆弱性に関する考察

WordPressプラグインにおけるアクセス制御の脆弱性は、サイト全体のセキュリティリスクを高める深刻な問題となっている。Happy Elementor Addonsはページビルダー機能を提供する重要なプラグインであり、多くのユーザーが利用していることから、脆弱性の発見と修正は重要な意味を持つだろう。

今後はWordPressプラグインのセキュリティ審査をより厳格化し、開発段階でのセキュリティテストを強化することが求められる。特にアクセス制御に関する脆弱性は基本的なセキュリティ要件であり、プラグイン開発者はSSD LCの各段階でセキュリティチェックを実施することが望ましいだろう。

また、プラグインのセキュリティアップデートを自動化し、ユーザーが最新のセキュアなバージョンを利用できる環境を整備することも重要である。WordPressコミュニティ全体でセキュリティ意識を高め、脆弱性情報の共有と迅速な対応を可能にする体制作りが期待される。