【CVE-2024-10365】The Plus Addons For Elementor 6.0.3以前に情報漏洩の脆弱性、認証済みユーザーによるテンプレートデータへのアクセスが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

The Plus Addons For Elementor 6.0.3以前に脆弱性
認証済みユーザーによる機密情報の漏洩が可能
影響を受けるモジュールは複数のウィジェットに存在

The Plus Addons For Elementor 6.0.3における情報漏洩の脆弱性

WordfenceはWordPress用プラグイン「The Plus Addons For Elementor」において、バージョン6.0.3以前に深刻な情報漏洩の脆弱性が存在することを2024年11月20日に公開した。この脆弱性は複数のウィジェットモジュールのrender関数に存在しており、認証済みユーザーによる機密情報へのアクセスを可能にする問題が確認されている。^[1]

影響を受けるモジュールには、tp_carousel_anythingやtp_page_scrollなどのウィジェットが含まれており、これらのモジュールを介して非公開や下書き状態のテンプレートデータが漏洩する可能性がある。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があるため、早急な対応が必要とされている。

この脆弱性は【CVE-2024-10365】として識別されており、CVSSスコアは4.3（中程度）と評価されている。攻撃の複雑さは低く、認証が必要であり、情報の機密性への影響が確認されているものの、整合性と可用性への影響は確認されていない状況だ。

The Plus Addons For Elementorの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-10365
影響を受けるバージョン	6.0.3以前の全バージョン
脆弱性の種類	機密情報の漏洩（CWE-200）
CVSSスコア	4.3（MEDIUM）
影響を受けるモジュール	tp_carousel_anything.php、tp_page_scroll.php他
必要な権限レベル	Contributor以上

脆弱性の詳細はこちら

機密情報の漏洩について

機密情報の漏洩とは、権限のない者に対して機密性の高いデータが開示される状態を指す。主な特徴として、以下のような点が挙げられる。

認証や権限管理の不備による情報アクセス
システムの設計上の欠陥による意図しない情報開示
適切なアクセス制御が実装されていない状態での情報流出

The Plus Addons For Elementorの脆弱性では、render関数の実装における認証チェックの不備により、Contributor以上の権限を持つユーザーが非公開や下書き状態のテンプレートデータにアクセスできる状態となっている。この問題は情報の機密性を損なう重大な脆弱性であり、早急なバージョンアップによる対策が推奨されている。

The Plus Addons For Elementorの脆弱性に関する考察

WordPress用プラグインの脆弱性は、サイト全体のセキュリティに影響を及ぼす重大な問題となる可能性が高い。The Plus Addons For Elementorの場合、認証済みユーザーによる攻撃に限定されるものの、多くのサイトでContributor以上の権限を持つユーザーが存在することを考えると、内部からの情報漏洩リスクは看過できないものとなっている。

今後は認証済みユーザーによる権限昇格や情報漏洩を防ぐため、より厳密な権限管理とアクセス制御の実装が求められる。特にテンプレートデータへのアクセスについては、ユーザーの役割に応じた細かな制御が必要となるだろう。WordPress用プラグインの開発者は、認証済みユーザーによる攻撃シナリオも考慮したセキュリティ設計を心がける必要がある。

また、WordPressサイトの管理者は、使用しているプラグインの脆弱性情報を定期的にチェックし、必要に応じて迅速なアップデートを行う体制を整える必要がある。プラグインの更新管理を怠ると、既知の脆弱性を抱えたまま運用を続けることになり、情報漏洩のリスクが高まることは避けられない。