Sucuriは3月31日(米国時間)、「High Severity Vulnerability in WordPress Elementor Pro Patched」において、WordPress向けの高機能プラグイン「Elementor Pro」に重大度の高い脆弱性に対する修正パッチが公開されていると伝えた。
この脆弱性を悪用されると、攻撃者によってWebサイトの管理者権限を奪われる危険性がある。なお、該当する脆弱性はElementorのProバージョンのみに存在し、wordpress.orgでホストされている無償バージョンは影響を受けないという。
Elementor ProはWordPressのページを簡単に作成できるプラグイン。 有償バージョンであるElementor Proでは、ECサイト作成プラグインの「WooCommerce」と連携して動作するWooCommerceビルダーと呼ばれる機能が提供されている。今回報告されている脆弱性はこの機能に関連しており、Elementor ProのAJAXアクションを介してデータベース内のwp_options値を任意に変更できるというもの。変更できるwp_options値の例としては、サイトURLやデフォルトのユーザーロール、ユーザー登録などが挙げられている。
この脆弱性を悪用した攻撃を受けたユーザーからは、管理者のユーザー名が「ad@example.com」に変更されたり、データベース内のパターン「wpnew_***」を利用して新しい管理者ユーザが追加されたりといった状況が報告されているとのこと。Sucuriによると、この脆弱性を悪用した攻撃キャンペーンが実施されており、大規模な侵害が始まっていることも確認しているという。
脆弱性による影響を回避するには、プラグインのバージョンを3.11.7以降にアップデートする必要がある。Sucuriのレポートでは、この脆弱性を悪用した攻撃手法の詳細がまとめられている。