Post Grid and Gutenberg Blocks 2.2.85 - 2.3.3 - 認証されていない権限昇格

この脆弱性は、攻撃者が管理者権限を不正に取得することを可能にします。攻撃者は、サイトの完全な制御を獲得し、機密情報を盗み出し、悪意のあるコードを実行したり、サイトを改ざんしたりする可能性があります。特に、WordPressサイトの管理者は、この脆弱性によって重大な損害を受けるリスクがあります。攻撃者は、ユーザー登録フォームを悪用し、管理者権限を持つアカウントを不正に作成することで、システムへのアクセスを確立します。この脆弱性は、WordPressサイトのセキュリティを著しく低下させる可能性があります。

Websites using the ComboBlocks plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are particularly vulnerable.

• wordpress / composer / npm:

wp plugin list | grep ComboBlocks

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

grep -r 'update_user_meta' /var/www/html/wp-content/plugins/combo-blocks/

• wordpress / composer / npm:

wp option get siteurl

• wordpress / composer / npm:

wp option get home

1. 2025-01-15Disclosure

   disclosure

1. 予約済み2024-10-08
2. 公開日2025-01-15
3. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Post Grid and Gutenberg Blocksプラグインをバージョン2.3.4以降にアップデートすることです。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、ユーザー登録機能を制限するなどの回避策を検討してください。また、WordPressのセキュリティプラグインを導入し、不正なユーザー登録を監視することも有効です。WAF（Web Application Firewall）を導入し、不正なリクエストをブロックすることも推奨されます。

アクティブインストール数

30K人気

プラグイン評価

4.3

WordPressが必要

5.0.0+

動作確認済みバージョン

6.9.4