WordPress を利用した数十、さらには数百の Web サイトが、Essential Addons for Elementor と呼ばれる広く使用されているプラグインのリモート コード実行 (RCE) バグによる攻撃に対して脆弱になる可能性があります。
このプラグインは世界中で 1 万件以上インストールされており、Web サイト所有者が WordPress 用の Elementor ページ ビルダーを使用して構築されたページにさまざまなカスタマイズを追加できるように設計されています。
独立したセキュリティ研究者が最近、Elementor の Essential Addons のバージョン 5.0.4 以下に欠陥があることを発見し、プラグインの開発者に問題を報告しました。 その後、開発者は脆弱性を修正した更新バージョンをリリースしました。 しかし、WordPress プラグインのセキュリティ ベンダーである PatchStack の研究者がパッチをテストしたところ、欠陥があることが判明しました。 彼らはそれを開発者に報告し、別のバージョン (これは機能する修正を加えたバージョン) が 28 月 XNUMX 日に発行されました。
ブログ記事では、 パッチスタック 同氏によると、この脆弱性により、認証や認可のステータスに関係なく、すべてのユーザーが脆弱なバージョンの Elementor プラグインを使用して、サイト上でいわゆるローカル ファイル インクルード攻撃を実行できるようになります。 この脆弱性を悪用すると、Web サイトのファイル システム上にローカル ファイル (悪意のある PHP コードを含むファイルなど) が組み込まれ、リモートで実行される可能性があります。
PatchStack によると、この脆弱性は、特定の関数が呼び出されたときにプラグインがユーザー入力データを処理する方法に関係しています。 このため、これらの機能を利用するウィジェットを使用した場合にのみ脆弱性が発現します。
K2 Cyber Security の CEO 兼共同創設者である Pravin Madhani 氏は、Web アプリケーションに Web サーバー上の特定のファイルを実行させる手法として、ローカル ファイル インクルージョン (LFI) 攻撃について説明しています。 「通常、LFI はアプリケーションがファイルへのパスを入力として使用するときに発生します」と Madhani 氏は言います。 「アプリケーションがこの入力を信頼できるものとして扱う場合、ローカル ファイルが include ステートメントで使用される可能性があります。」
WordPress のさらなるセキュリティ問題
WordPress Web サイトの運営者にとって、今回の欠陥は、長年にわたって対処しなければならなかったセキュリティ脆弱性の長いリストの最新のものにすぎません。 問題の多くは、プラットフォームのプラグインに関係しています。 たとえば、別の WordPress セキュリティ ベンダーである Wordfence は XNUMX 月に、 発見したと報告された WordPress 用の 84,000 つの個別のプラグインに存在する同じ脆弱性。 この問題は約 XNUMX の Web サイトに影響を与えました。
XNUMX月に、研究者らは、 Jetpackの All in One SEO と呼ばれる WordPress プラグインの認証された権限昇格のバグ (CVE-2021-25036) と認証 SQL インジェクションのバグ (CVE-2021-25037) の 3 つの脆弱性を報告しました。 この脆弱性は、最初に公開された時点で約 XNUMX 万の Web サイトに影響を与えました。 Wordfence に存在するさらに別の脆弱性 XNUMX月に明らかになった、今回は Starter Templates — Elementor、Gutenberg & Beaver Builder Templates と呼ばれるプラグインで、約 1 万の Web サイトに影響を与えました。
マダニ氏は、組織はいくつかの基本的なベストプラクティスを実装することで、これらの脅威への曝露を軽減できると述べています。
これには、WordPress アプリケーションを最新の状態に保ち、適切にパッチを適用する必要性が含まれます。 また、組織は、アクティブに使用しているプラグインのみを保持し、プラグインも常に更新され、パッチが適用されていることを確認する必要があります。 多層的なセキュリティ管理も重要だと彼は言います。
これには、エッジ セキュリティ、ランタイム アプリケーション セキュリティ、サーバー セキュリティを含めるのが理想的だと彼は言います。 例として、Web アプリケーション ファイアウォール、ランタイム アプリケーション セキュリティ制御、エンドポイント ポイントの検出および応答テクノロジを挙げています。
「ツールによって報告されたインシデントについて常に最新の情報を入手し、特に重大なセキュリティ インシデントについては定期的にレポートをフォローアップしてください」と Madhani 氏はアドバイスします。 「WordPress サイトに適切なパスワード ルールとパスワード セキュリティ (MFA など) があることを確認してください。」
