プラットフォーム
wordpress
コンポーネント
elementor
修正版
3.29.1
Elementor Website Builder プラグインの 'elementor-element' ショートコードにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting (XSS) 脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者は、コントリビュータ以上の権限を持つユーザーがアクセスするページに悪意のあるウェブスクリプトを注入できます。影響を受けるバージョンは 0.0.0 から 3.29.0 までです。3.30.0 以降のバージョンで修正されています。
CVE-2025-3075は、WordPressのElementorプラグインにおけるクロスサイトスクリプティング(XSS)の脆弱性です。認証された攻撃者が、プラグインの「elementor-element」ショートコードを介して悪意のあるJavaScriptコードを注入できます。この注入されたコードは、ユーザーが侵害されたページにアクセスするたびに実行され、機密情報の窃盗、悪意のあるWebサイトへのリダイレクト、またはページコンテンツの操作につながる可能性があります。根本原因は、ショートコード内のユーザー提供属性の入力のサニタイズと出力エスケープの不備にあります。影響は大きく、特に多数のユーザーとユーザー生成コンテンツを持つWebサイトにとって深刻です。
Elementorを使用しているWordPressサイトのコントリビューター以上のアクセス権を持つ攻撃者は、この脆弱性を悪用できます。彼らは「elementor-element」ショートコードを使用してページを作成または変更し、属性として悪意のあるJavaScriptを注入できます。他のユーザー(管理者を含む)がページを訪問すると、悪意のあるコードがそのブラウザで実行されます。エクスプロイトの難易度は比較的低く、ElementorがインストールされたWordPressサイトへの認証されたアクセスのみが必要です。Elementorの広範な使用と悪意のあるコードを注入する容易さを考えると、エクスプロイトの可能性は高くなっています。
WordPress websites utilizing the Elementor Website Builder plugin, particularly those with 'Element Caching' enabled, are at risk. Shared hosting environments where users have contributor-level access or higher are especially vulnerable, as they provide a potential attack vector for malicious script injection.
• wordpress / composer / npm:
grep -r 'elementor-element shortcode' /var/www/html/wp-content/plugins/elementor/src/• wordpress / composer / npm:
wp plugin list --status=active | grep elementor• wordpress / composer / npm:
wp plugin update elementor• generic web:
Check Elementor plugin version using curl -I <wordpresssiteurl>/wp-content/plugins/elementor/elementor.php and verify it's >= 3.30.0.
disclosure
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性の主な軽減策は、Elementorプラグインをバージョン3.30.0以降に更新することです。この更新には、悪意のあるスクリプトの注入を防ぐために必要な修正が含まれています。さらに、既存のWebページに潜在的なコード注入がないか確認し、削除してください。すべてのプラグインとWordPressコアを定期的に更新することは、攻撃対象領域を最小限に抑えるために不可欠です。強力なパスワードポリシーを実装し、編集権限を持つすべてのユーザーに対して二要素認証を有効にすることで、セキュリティをさらに強化できます。
Actualice el plugin Elementor a la versión 3.30.0 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de que 'Element Caching' esté deshabilitado o configurado correctamente para evitar la persistencia de scripts maliciosos. Revise las páginas para eliminar cualquier contenido sospechoso inyectado antes de la actualización.
脆弱性分析と重要アラートをメールでお届けします。
XSS(クロスサイトスクリプティング)は、攻撃者が他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できるセキュリティ脆弱性の種類です。
これは、攻撃者がWordPressでページや投稿を作成および編集する権限を持っているが、サイト全体を完全に制御していないことを意味します。
Elementorのバージョンが3.30.0より古い場合、サイトは脆弱です。できるだけ早く更新してください。
すべてのパスワードを変更し、サイトをマルウェアスキャンし、クリーンなバックアップから復元することを検討してください。
OWASP ZAPやBurp Suiteなど、Webの脆弱性をスキャンするツールがいくつかあり、XSSの検出に役立ちます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。