セキュリティ

SECURITY

公開：2025-03-05

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性、未認証ユーザーによる情報漏洩のリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ElementsKit Elementorアドオン3.4.0以前に脆弱性が発見
• 未認証ユーザーが非公開コンテンツを閲覧可能な状態
• get_megamenu_content関数の権限チェック不備が原因

ElementsKit Elementorアドオン3.4.0の情報漏洩の脆弱性

WordfenceはWordPress用プラグインElementsKit Elementorアドオンの3.4.0以前のバージョンに情報漏洩の脆弱性が存在することを2025年2月19日に公開した。この脆弱性は未認証の攻撃者が非公開のページや投稿、テンプレートなどの情報にアクセス可能になってしまう深刻な問題である。^[1]

脆弱性の原因はget_megamenu_content関数における権限チェックの欠如にあり、CVSSスコアは5.3でMedium(中程度)の深刻度と評価されている。この問題により、ドラフト状態や削除済み、非公開に設定されたコンテンツまでもが第三者に閲覧される可能性が生じている。

脆弱性はCVE-2025-0968として識別されており、CWEによる脆弱性タイプは不適切なアクセス制御(CWE-284)に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権は不要だが、利用者の関与が必要とされている。

ElementsKit Elementorアドオンの脆弱性詳細

不適切なアクセス制御について

不適切なアクセス制御とは、システムやアプリケーションにおいて、ユーザーの権限や認証状態を適切に確認せずにリソースへのアクセスを許可してしまう脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• 認証や認可の検証が不十分または欠如している状態
• 権限のないユーザーが保護されたリソースにアクセス可能
• セキュリティ上重要な機能が適切に保護されていない

ElementsKit Elementorアドオンの事例では、get_megamenu_content関数に権限チェックが実装されていなかったことにより、認証されていないユーザーが非公開コンテンツにアクセス可能な状態となっていた。WordPressの権限モデルでは、非公開コンテンツへのアクセスは適切な権限を持つユーザーのみに制限されるべきである。

ElementsKit Elementorアドオンの脆弱性に関する考察

この脆弱性の影響は、企業や組織のWordPressサイトで非公開情報が露出するリスクがあることから、早急な対応が必要となっている。特に企業の未発表情報や個人情報を含むコンテンツが存在する場合、情報漏洩による経済的損失やレピュテーションへの影響が懸念される。

開発者側の対応としては、すべての公開APIエンドポイントに対して適切な権限チェックを実装することが重要である。WordPressの提供する権限管理機能を活用し、各機能へのアクセス制御を適切に実装することで、同様の脆弱性の再発を防ぐことができる。

今後はプラグイン開発においてセキュリティレビューのプロセスを強化し、特に認証・認可に関する実装の確認を徹底することが望ましい。また、WordPressコミュニティ全体でセキュリティベストプラクティスの共有と啓発を進めることで、エコシステム全体のセキュリティレベル向上が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0968, (参照 25-03-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧