CVE-2025-14163: CSRF in Premium Addons for Elementor

このCSRF脆弱性は、攻撃者が正規のユーザー（特にサイト管理者）を騙して、Elementorテンプレートを不正に作成させることを可能にします。攻撃者は、巧妙に細工されたリンクをクリックさせることで、この脆弱性を悪用できます。これにより、攻撃者はサイトのレイアウトを改ざんしたり、悪意のあるコンテンツを挿入したりする可能性があります。特に、Elementorを多用しているサイトや、管理者の権限を持つユーザーが多いサイトでは、影響が大きくなる可能性があります。この脆弱性の悪用により、サイトの信頼性が損なわれ、ユーザーに悪影響を及ぼす可能性があります。

WordPress websites using Premium Addons for Elementor, particularly those with multiple users having 'edit_posts' capabilities, are at risk. Shared hosting environments where users have limited control over plugin updates are also more vulnerable. Sites with legacy configurations or outdated security practices are especially susceptible.

• wordpress / composer / npm:

grep -r 'insert_inner_template' /var/www/html/wp-content/plugins/premium-addons-for-elementor/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'premium-addons-for-elementor'

• wordpress / composer / npm:

wp plugin update premium-addons-for-elementor --all

1. 2025-12-23Disclosure

   disclosure

1. 予約済み2025-12-05
2. 公開日2025-12-23
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずElementor Premium Addonsプラグインをバージョン4.11.54にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、Elementorのテンプレート編集画面へのアクセスを制限し、管理者以外のユーザーがテンプレートを編集できないように設定することも有効です。さらに、WordPressのセキュリティプラグインを導入し、nonce検証を強化することも推奨されます。

アクティブインストール数

700K人気

プラグイン評価

4.9

WordPressが必要

6.6+

動作確認済みバージョン

7.0

PHPが必要

7.4+