WordPress Consulting Elementor Widgets プラグイン <= 1.3.0 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイル（設定ファイル、ソースコード、データベース情報など）を読み出す可能性があります。さらに、ローカルファイルインクルージョン（LFI）を悪用して、PHPスクリプトをインクルードし、リモートコード実行（RCE）を試みることも考えられます。攻撃者は、Webサイトの改ざん、データの窃取、さらにはサーバー全体の制御を奪うことも可能になります。この脆弱性は、WordPressサイトを運用している組織にとって重大な脅威となります。

WordPress sites utilizing the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with less stringent security configurations.

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/consulting-elementor-widgets/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd' # Check for file disclosure

1. 2024-06-24Disclosure

   disclosure

1. 予約済み2024-06-03
2. 公開日2024-06-24
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

Consulting Elementor Widgetsのバージョンを1.3.1にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定してください。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないディレクトリへのアクセスを制限することも有効です。ファイルパーミッションの設定や、WAFのルール設定を定期的に見直すことで、セキュリティリスクを低減できます。