Elementor <= 3.30.2 - 認証済み (Contributor+) テキストパスウィジェット経由の保存型クロスサイトスクリプティング

Elementor Website BuilderプラグインのCVE-2025-4566脆弱性は、バージョン3.30.2以前に影響を与え、保存型のクロスサイトスクリプティング（XSS）攻撃を可能にします。貢献者レベル以上のアクセス権を持つ認証された攻撃者は、「Text Path」ウィジェットの「data-text」属性を介して悪意のあるJavaScriptコードを注入できます。このコードは、ユーザーが侵害されたページにアクセスするたびに実行されます。主な影響は、なりすまし、セッションクッキーの窃取、悪意のあるサイトへのリダイレクト、またはページコンテンツの改ざんであり、ウェブサイトのセキュリティと整合性が損なわれます。CVSSスコアは6.4で、中程度から高いリスクを示します。

1. 予約済み2025-05-12
2. 公開日2025-07-29
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

直ちに行うべき対策は、Elementorプラグインをバージョン3.30.3以降に更新することです。この更新により、入力の適切なサニタイズと出力のエスケープを「Text Path」ウィジェットに実装することで、脆弱性が修正されます。さらに、貢献者以上の権限を持つユーザーが作成または編集したページなど、既存のページに悪意のあるコードの注入がないか確認してください。Content Security Policy（CSP）を実装することで、脆弱性が直ちに修正されない場合でも、XSS攻撃の影響を軽減できます。サーバーログを監視して、不審な活動がないか確認することも、セキュリティのベストプラクティスです。

アクティブインストール数

10.0M人気

プラグイン評価