Wordfenceはエレメンで製作されたサイトに存在する脆弱性を発見したと発表した。 エレメンページビルダーは、開発者によると、700万人以上のサイトにインストールされて使用されているそうです。 Elementorを使用している場合は、最新バージョン(3.1.4以上)にアップデートしてください。 エレメンプロを使用する場合は3.2.0以降のバージョンにアップデートする必要が安全です。
Stored XSSの脆弱性
エレメンページビルダーで発見されたセキュリティ上の問題は、Stored XSS(保存クロスサイトスクリプティング)の脆弱性の一種であり、攻撃者がサイトの制御を掌握する可能性があります。
(XSS Cross Site Scripting)は、攻撃者(ハッカー)が悪意のあるスクリプトをアップロードし、ブラウザに表示されるスクリプトが実行されているWebページを実行する脆弱性のタイプです。
スクリプトはクッキー、パスワードなどを盗むなど、さまざまな作業を行うことができます。
ウェブサイト自体にスクリプトが保存されるので、これらのXSSの悪用(exploit)をStored Cross Site Scripting(保存クロスサイトスクリプティング)の脆弱性と言いますね。 他のタイプのXSSにReflected Cross Site Scriptingというものがありますが、これは(電子メールなどを介して)クリックしたリンクに依存する方式とします。
Stored Cross Site Scriptingは、Webページを訪問するすべての訪問者を攻撃することができるので、より大きな脅威になることがあります。
ElementorのStored XSS脆弱性
エリーメンターに影響を与えるStored XSSの脆弱性は、管理者のログイン情報を奪取するために悪用されることがあります。 しかし、攻撃者は、最初に文の発行レベルの WordPress ユーザー権限が必要です。 最も低いユーザーレベルである「貢献(外部筆陣; Contributor)」の権限を持っても、攻撃を開始することができます。
貢献レベルの WordPress 管理者は、サイトで自分の文章を読んで発行して、編集、および削除することができ、低レベルのユーザーです。 しかし、このユーザーの役割は、画像などのメディアファイルをアップロードすることができません。
今回発見された脆弱性を利用して、悪意のある攻撃者は、編集画面で悪意のあるスクリプトをアップロードすることができます。 次の6つのエレメン要素の抜け穴(loophole)が存在します。
- アコーディオン(Accordion)
- アイコンボックス(Icon Box)
- 画像ボックス(Image Box)
- ヘディング(Heading)
- ディバイダ(Divider)
- カラム(Column)
エレメンページビルダーを最新バージョンにアップデートしてください
このブログを通じて、常に強調する内容であるが、セキュリティのために WordPress、テーマ、プラグインを最新バージョンに更新することが望ましい。 そして長い間更新ない放置されたプラグインは、削除することが、セキュリティ上の有利です。
エレメンページビルダーを使用している場合は、3.1.4以降のバージョンにアップデートしてください。 エレメンは人気のプラグインであるため、この脆弱性は、パッチされる場合は、更新されていないサイトを対象とした攻撃が増加します。
何よりもサイトのバックアップを定期的に受けて、PCやクラウドなど、安全な場所に保管することが重要です。 その後、サイトに問題が発生してもバックアップを使用して簡単に復旧が可能です。
おわりに
エレメン脆弱性は、2月に発見されたが、セキュリティ上の問題を開発者に報告し、パッチが出てきた後、一般に公開されました。 Wordfenceは3月17日に同社のブログの "Cross-Site Scripting Vulnerabilities in Elementor Impact Over 7 Million Sites (700万を超えるサイトに影響を与えるエレメンのクロスサイトスクリプティングの脆弱性を発見)」文を使用して詳細を公開しました。
エレメンのようなページビルダーを使用すると、コーディングを知らなくても、簡単にサイトを作成できるというメリットがあります。 しかし、サイトのパフォーマンスに負担を与えることができますので、シンプルなブログを運営している場合 GeneratePressのような軽いテーマを使用して作ることも大丈夫なようです。
コメントを残す