WordPress Ultimate Bootstrap Elements for Elementor プラグイン <= 1.4.2 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

このパス・トラバーサル脆弱性は、攻撃者がサーバー上のファイルシステムを探索し、機密情報を盗み出すことを可能にします。例えば、設定ファイル、データベースのバックアップ、ソースコードなどが攻撃対象となる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの管理権限を奪取したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。類似の脆弱性は、Webサーバーの設定ミスや、ファイルアクセス制御の不備によって発生することがあります。

WordPress websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.2) and those with weak file permission configurations, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*

• generic web:

curl -I 'http://example.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwd' # Check for sensitive file access

1. 2024-07-09Disclosure

   disclosure

1. 予約済み2024-06-09
2. 公開日2024-07-09
3. 更新日2024-08-02
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずUltimate Bootstrap Elements for Elementorをバージョン1.4.3にアップデートすることを推奨します。アップデートが困難な場合は、Webサーバーの設定を見直し、ファイルアクセス制御を強化してください。具体的には、アクセス制限が必要なファイルやディレクトリへのアクセスを制限するルールを設定し、不要なファイルやディレクトリの公開を避けるようにしてください。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。

アクティブインストール数

7K既知

プラグイン評価

5.0

WordPressが必要

4.7+

動作確認済みバージョン

6.8.5

PHPが必要

5.6+