プラットフォーム
wordpress
コンポーネント
king-addons
修正版
51.1.37
KingAddons.com の King Addons for Elementor には、任意のファイルアクセス脆弱性が存在します。この脆弱性は、攻撃者がWebシェルをサーバーにアップロードすることを可能にし、機密情報の窃取やシステム制御といった深刻な影響をもたらす可能性があります。影響を受けるバージョンは 0.0.0 から 51.1.36 までのものです。開発者はバージョン 51.1.37 以降へのアップデートを推奨しています。
この脆弱性を悪用されると、攻撃者はWebシェルをサーバーにアップロードし、リモートからコマンドを実行できるようになります。これにより、機密情報の窃取、データの改ざん、システムの完全な制御といった深刻な被害が発生する可能性があります。特に、Webシェルは攻撃者がシステムに永続的にアクセスするための足がかりとなり、長期的な損害につながる可能性があります。この脆弱性は、Webサーバーのセキュリティを完全に侵害する可能性があり、他のシステムへの横展開も容易に起こりえます。類似の脆弱性は、過去にWebアプリケーションフレームワークにおけるファイルアップロード機能の不備から発生しており、厳重な対策が必要です。
この脆弱性は、2025年11月6日に公開されました。CVSSスコアは10(CRITICAL)であり、非常に高い危険度を示しています。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、Webシェルアップロードの脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。EPSSスコアは、攻撃の可能性が高いことを示唆しています。公開されているPoCは確認されていませんが、この脆弱性の深刻度を考慮すると、今後PoCが公開される可能性も否定できません。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
バージョン 51.1.37 以降へのアップデートが最も効果的な対策です。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、Webシェルとして悪用される可能性のあるファイルのアップロードをブロックすることを検討してください。また、サーバーの設定を見直し、不要なファイルアクセス権限を削除し、ファイルアップロード機能に対する入力検証を強化することも有効です。WAF のルールとしては、拡張子(.php, .jsp, .asp など)や、Web シェルとして利用される可能性のあるキーワード(eval, system, exec など)を含むファイルのアップロードをブロックするルールを設定します。アップデート後、King Addons for Elementor のファイルアクセス権限を確認し、不正なアクセスを防止してください。
Actualice el plugin King Addons for Elementor a la última versión disponible para solucionar la vulnerabilidad de subida arbitraria de archivos. Verifique las actualizaciones disponibles en el panel de administración de WordPress o en el repositorio oficial de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar.
脆弱性分析と重要アラートをメールでお届けします。
KingAddons.com の King Addons for Elementor における任意のファイルアクセス脆弱性で、攻撃者がWebシェルをアップロードし、サーバーを制御する可能性があります。
King Addons for Elementor のバージョン 0.0.0~51.1.36 を使用している場合は影響を受けます。
バージョン 51.1.37 以降にアップデートしてください。アップデートできない場合は、WAF を使用してファイルのアップロードをブロックしてください。
現時点では具体的な悪用事例は報告されていませんが、高い危険度であるため、早急な対応が必要です。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで詳細情報を確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
動画シーン
バージョン 51.1.37 以降へのアップデートが最も効果的な対策です。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、Webシェルとして悪用される可能性のあるファイルのアップロードをブロックすることを検討してください。また、サーバーの設定を見直し、不要なファイルアクセス権限を削除し、ファイルアップロード機能に対する入力検証を強化することも有効です。WAF のルールとしては、拡張子(.php, .jsp, .asp など)や、Web シェルとして利用される可能性のあるキーワード(eval, system, exec など)を含むファイルのアップロードをブロックするルールを設定します。アップデート後、King Addons for Elementor のファイルアクセス権限を確認し、不正なアクセスを防止してください。