WordPress Element Pack Elementor Addons プラグイン <= 8.3.13 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性は、攻撃者が認証されたユーザーになりすまして、Element Pack Elementor Addonsの設定を変更したり、不正なコンテンツを挿入したりすることを可能にします。例えば、攻撃者は悪意のあるリクエストをユーザーに送信し、ユーザーがそのリクエストを承認することで、サイトの重要な設定を書き換えることができます。攻撃者は、ユーザーの権限を利用して、機密情報を盗んだり、サイトの機能を破壊したりする可能性があります。この脆弱性は、Element Pack Elementor Addonsを広く利用しているWordPressサイトにとって、重大な脅威となります。

Websites using Element Pack Elementor Addons, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially affect others. Sites using older, unpatched versions of Element Pack are most vulnerable.

• wordpress / composer / npm:

grep -r 'bdthemes-element-pack-lite' /var/www/html/
wp plugin list | grep 'bdthemes-element-pack-lite'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=element_pack_some_sensitive_action

1. 2026-01-22Disclosure

   disclosure

1. 予約済み2025-03-28
2. 公開日2026-01-22
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

Element Pack Elementor Addonsのバージョンを8.3.14以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが直ちに実行できない場合は、WAF（Web Application Firewall）を導入し、CSRFトークン検証を強化することで、攻撃を軽減できます。また、WordPressのセキュリティプラグインを導入し、不正なリクエストを監視することも有効です。アップデート後、Element Pack Elementor Addonsの設定を確認し、不正な変更がないか確認してください。

アクティブインストール数

100K既知

プラグイン評価

4.7

WordPressが必要

5.0.0+

動作確認済みバージョン

6.9.4

PHPが必要

7.4.0+