プラットフォーム
wordpress
コンポーネント
elementor
修正版
3.19.1
CVE-2024-24934は、Elementor Website Builderにおいて、Web入力の操作によってファイルシステムへの不正なアクセスを許してしまうパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は機密情報を盗み出したり、システムを改ざんしたりする可能性があります。影響を受けるバージョンは、n/aから3.19.0までのElementor Website Builderです。Elementorはすでに3.19.1でこの脆弱性を修正しています。
この脆弱性は、攻撃者がElementorのインストールディレクトリ外のファイルにアクセスすることを可能にします。例えば、Webサーバーの構成ファイルや、データベースの認証情報ファイルなどを読み取ることが考えられます。さらに、攻撃者はこの脆弱性を悪用して、Webサーバー上で任意のコードを実行し、システム全体を制御する可能性も否定できません。この脆弱性は、WordPressサイト全体に影響を及ぼす可能性があり、サイトの信頼性を大きく損なう可能性があります。類似の脆弱性は、ファイルアップロード機能の不備などから発生することがあります。
この脆弱性は、2024年5月17日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)には登録されていません。EPSS(Exploit Prediction Score System)のスコアは、まだ評価されていません。公的なPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性であるため、悪用コードが公開される可能性はあります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に確認し、最新の情報を把握するようにしてください。
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.88% (75% パーセンタイル)
CISA SSVC
CVSS ベクトル
Elementor Website Builderを3.19.1以降のバージョンにアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定でElementorのディレクトリへのアクセスを制限するなどの対策を講じる必要があります。また、WordPressのセキュリティプラグインを導入し、ファイルアクセスを監視することで、不正なアクセスを早期に検知することが可能です。WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-24934は、Elementor Website Builder (≤3.19.0)におけるパス・トラバーサル脆弱性です。Web入力の操作により、ファイルシステムへの不正なアクセスを許してしまう可能性があります。
Elementor Website Builderのバージョンがn/aから3.19.0までの場合は影響を受けます。3.19.1以降のバージョンでは修正されています。
Elementor Website Builderを3.19.1以降の最新バージョンにアップデートしてください。アップデートが難しい場合は、Webサーバーの設定でElementorのディレクトリへのアクセスを制限するなどの対策を講じてください。
現時点では、公的なPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用コードが公開される可能性はあります。常に最新の情報を確認するようにしてください。
Elementorの公式アドバイザリは、Elementorのセキュリティページで確認できます。https://elementor.com/help/security/
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。