WordPressの人気プラグイン「Elementor」に脆弱性、クロスサイトスクリプティングが可能な状態に

WordPressで非常に人気の高いエディタプラグインである「Elementor」にクロスサイトスクリプティングの脆弱性が存在することが公開された。すでに修正したバージョンが公開されていることから、該当するプラグインを使用している場合にはアップデートを適用してほしい。

[後藤大地，有限会社オングス]

　セキュリティ企業Defiantは2021年3月23日（現地時間）、同社のWordfence Threat Intelligenceチームが、CMS（Contents Management System）の「WordPress」において、人気の高いプラグインである「Elementor」にクロスサイトスクリプティングの脆弱（ぜいじゃく）性が存在することを発見したと伝えた。すでに問題が修正されたバージョンが公開されており、該当するプロダクトを使用している場合にはアップデートを適用することが望まれる。このプラグインは700万を超えるWebサイトで使われていると推定されている。

Cross-Site Scripting Vulnerabilities in Elementor Impact Over 7 Million Sites（出典：Defiant）

脆弱性が報告されたバージョンと修正版は？　直近の修正では不十分なものも

セキュリティ記事ランキング

• 本日
• 週間
• 半月
• 月間

1. 横行するディープフェイク　拡散される悪質な“デマ”に企業が対抗する術は
2. 15％がペットの名前をパスワードに、NCSCが推奨した新しいパスワードの管理方法とは
3. UTMを月額1万円以下で　中小企業に向けた5つのセキュリティ製品とは
4. VLCやOpenOfficeなどにワンクリックコード実行の脆弱性　アプリ開発におけるURI処理に課題
5. Lazarus APTが検出回避技術を開発か　PNGにzlibオブジェクトをBMPとして埋め込む

1. UTMを月額1万円以下で　中小企業に向けた5つのセキュリティ製品とは
2. 横行するディープフェイク　拡散される悪質な“デマ”に企業が対抗する術は
3. VLCやOpenOfficeなどにワンクリックコード実行の脆弱性　アプリ開発におけるURI処理に課題
4. Google検索で見つけたテンプレサイト、実はマルウェア配布サイト
5. 15％がペットの名前をパスワードに、NCSCが推奨した新しいパスワードの管理方法とは

1. 新たなマルウェアはあなたの“心理”に働きかける　巧妙化する手口を学ぼう
2. 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
3. LinkedIn 5億人分のプロファイルデータが「販売中」との報道
4. ゼロトラストのさらに先へ　Microsoftが目指す「Security for All」とは何か
5. UTMを月額1万円以下で　中小企業に向けた5つのセキュリティ製品とは

1. 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
2. WordPressのテーマに緊急脆弱性、既に攻撃の痕跡も
3. 新たなマルウェアはあなたの“心理”に働きかける　巧妙化する手口を学ぼう
4. LinkedIn 5億人分のプロファイルデータが「販売中」との報道
5. 古いQNAPに別の脆弱性、ネットワーク経由で乗っ取り可能との情報が公開される