WordPress Ultimate Bootstrap Elements for Elementor プラグイン <= 1.4.4 - ローカルファイルインクルージョン (Local File Inclusion) 脆弱性

この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイル（設定ファイル、ソースコード、データベースダンプなど）にアクセスできる可能性があります。特に、WordPressの構成ファイルや、データベースへの接続情報などが含まれるファイルが危険です。攻撃者は、これらの情報を利用して、サーバー全体の制御を奪ったり、機密情報を外部に漏洩させたりする可能性があります。この脆弱性は、PHPローカルファイルインクルージョン（LFI）を可能にするため、攻撃者は任意のPHPファイルを読み込み、実行できる可能性があります。

Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwd

1. 2024-08-13Disclosure

   disclosure

1. 予約済み2024-08-07
2. 公開日2024-08-13
3. EPSS 更新日2026-04-02

まず、Ultimate Bootstrap Elements for Elementorをバージョン1.4.5にアップデートしてください。アップデートが困難な場合は、WordPressのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないディレクトリへのアクセスを制限してください。また、WAF（Web Application Firewall）を導入し、パストラバーサル攻撃を検知・防御するルールを設定することも有効です。ファイルアクセスを厳格に制限する設定変更も検討してください。

アクティブインストール数

7K既知

プラグイン評価

5.0

WordPressが必要

4.7+

動作確認済みバージョン

6.8.5

PHPが必要

5.6+