LA-Studio Element Kit for Elementor <= 1.3.8.1 - Authenticated (Contributor+) ローカルファイルインクルージョン

この脆弱性は、攻撃者がWordPressサイトのサーバー上で任意のPHPコードを実行することを可能にします。攻撃者は、この脆弱性を利用して、機密情報を盗み出したり、ウェブサイトの機能を改ざんしたり、さらにはサーバー全体を制御したりする可能性があります。特に、画像やその他の安全なファイルタイプをアップロードできる環境では、攻撃者はこれらのファイルをインクルードすることで、より簡単にコードを実行できます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。

WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.

• wordpress / composer / npm:

grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php

• wordpress / composer / npm:

wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'

1. 2024-07-02Disclosure

   disclosure

1. 予約済み2024-05-25
2. 公開日2024-07-02
3. 更新日2024-08-01
4. EPSS 更新日2026-04-02

この脆弱性への最良の対策は、LA-Studio Element Kit for Elementorプラグインをバージョン1.3.8.1以降にアップデートすることです。アップデートが利用できない場合、またはアップデートによってサイトの機能に問題が発生する場合は、一時的な回避策として、プラグインのmap_styleパラメータへのアクセスを制限するWAFルールを実装することを検討してください。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルの書き込み権限を削除することも重要です。アップデート後、プラグインの動作を確認し、セキュリティ上の問題がないことを確認してください。

アクティブインストール数

10K既知

プラグイン評価

5.0

WordPressが必要

5.2+

動作確認済みバージョン

6.9.0

PHPが必要

7.2+