セキュリティ

SECURITY

公開：2025-01-20

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contributor以上の権限で任意のスクリプト実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Element Pack Liteに認証済みユーザーによるXSS脆弱性
• Cookie Consent Widgetのパラメータに問題
• バージョン5.10.14まで影響の可能性

Element Pack Liteの脆弱性CVE-2024-12851

WordfenceはWordPress用プラグインElement Pack Liteにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性【CVE-2024-12851】を2025年1月8日に公開した。この脆弱性はCookie Consent Widgetのcustom_attributesパラメータにおける入力サニタイズと出力エスケープの不備に起因している。^[1]

Element Pack LiteはElementor用のアドオンプラグインであり、ヘッダーフッター機能やテンプレートライブラリ、ダイナミックグリッド、カルーセル、リモートアローなどの機能を提供している。バージョン5.10.14以前のすべてのバージョンで脆弱性が確認されており、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる可能性がある。

この脆弱性は入力値の不適切な無害化によるもので、CVSSスコアは6.4（MEDIUM）と評価されている。攻撃者がスクリプトを注入した場合、ユーザーがそのページにアクセスした際に不正なスクリプトが実行される危険性がある。

Element Pack Lite脆弱性の詳細

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性を利用して、ユーザーのブラウザ上で悪意のあるスクリプトを実行させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値の不適切な検証や無害化による脆弱性
• ユーザーセッションの盗取やマルウェア感染の可能性
• Webサイトの改ざんやフィッシング詐欺への悪用

Element Pack Liteの脆弱性は格納型XSSに分類され、攻撃コードがサーバーに保存される特徴を持っている。攻撃者がContributor以上の権限を持つ場合、Cookie Consent Widgetのパラメータを介して悪意のあるスクリプトを注入し、他のユーザーの環境で実行させることが可能となる。

Element Pack Liteの脆弱性対策に関する考察

Element Pack Liteの脆弱性は、WordPressプラグインにおける入力検証の重要性を改めて示している。特にContributor権限を持つユーザーによる攻撃が可能という点は、CMSの権限管理とセキュリティ対策の両面から見直しが必要となるだろう。ユーザー入力を扱うウィジェットやプラグインの開発においては、より厳密な入力検証とエスケープ処理が求められる。

今後は同様の脆弱性を防ぐため、WordPress向けプラグインのセキュリティガイドラインの強化が期待される。特にサードパーティ製のウィジェットやアドオンに関しては、開発者向けのセキュリティベストプラクティスの提供や、コードレビューの仕組みの整備が重要となるだろう。WordPress本体のセキュリティ機能との連携も、検討すべき課題となる。

また、プラグインのセキュリティアップデートの配信体制も見直しが必要だ。脆弱性が発見されてから修正版がリリースされるまでの時間を短縮し、ユーザーへの影響を最小限に抑える仕組みが求められる。自動アップデート機能の改善や、セキュリティ情報の効果的な通知方法についても検討が必要となるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-12851 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-12851, (参照 25-01-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧