WordPress Builderall Builder for WordPress プラグイン <= 3.0.1 - 遠隔コード実行 (RCE) 脆弱性

このRCE脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Builderall Builder for WordPressを介してウェブサイトに悪意のあるコードを注入し、サーバー上の任意のコマンドを実行できます。これにより、機密情報の窃取、ウェブサイトの改ざん、さらにはサーバー全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、ウェブサイトのファイルシステムにアクセスし、データベースから情報を盗み出し、他のシステムへの攻撃の足がかりとして利用する可能性があります。この脆弱性の悪用は、ウェブサイトの信頼性を損ない、ビジネスに重大な影響を与える可能性があります。

Organizations using the Builderall Builder for WordPress plugin, particularly those with older versions (0.0.0 - 3.0.1), are at significant risk. Shared hosting environments are especially vulnerable, as a compromised plugin on one site could potentially impact other sites on the same server.

• wordpress / composer / npm:

grep -r "builderall-cheetah-for-wp" /var/www/html/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/builderall-cheetah-for-wp/ | grep -i 'builderall'

1. 2026-03-05Disclosure

   disclosure

1. 予約済み2026-01-07
2. 公開日2026-03-05
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

最も効果的な対策は、Builderall Builder for WordPressをバージョン3.0.1以上にアップデートすることです。アップデートがすぐに適用できない場合は、ウェブアプリケーションファイアウォール（WAF）を導入し、コードインジェクション攻撃を検知・防御するルールを設定してください。また、入力検証を強化し、ユーザーからの入力を適切にサニタイズすることで、攻撃のリスクを軽減できます。Builderallの公式ドキュメントを参照し、セキュリティに関する推奨事項を遵守してください。アップデート後、ウェブサイトの機能が正常に動作することを確認してください。

アクティブインストール数

1Kニッチ

プラグイン評価

5.0

WordPressが必要

4.6+

動作確認済みバージョン

6.7.5

PHPが必要

5.6+