Page Builder by SiteOrigin <= 2.33.5 - Authenticated (Contributor+) ローカルファイルインクルージョン

この脆弱性を悪用されると、攻撃者はWordPressサイト上で任意のPHPコードを実行できる可能性があります。攻撃者は、Contributor以上の権限を持つアカウントを悪用し、locate_template()関数を通じて、サーバー上の機密ファイル（設定ファイル、データベース接続情報など）をインクルードし、その内容を盗み出すことが考えられます。さらに、攻撃者は悪意のあるPHPコードをインクルードし、バックドアを設置したり、サイトを改ざんしたり、他のシステムへの攻撃の足がかりにすることも可能です。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.

• wordpress / composer / npm:

wp plugin list | grep 'Page Builder by SiteOrigin'

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*

• generic web: Check WordPress plugin directory for updated version and security advisories.

1. 2026-03-03Disclosure

   disclosure

1. 予約済み2026-02-13
2. 公開日2026-03-03
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Page Builder by SiteOriginプラグインをバージョン2.34.0以降にアップデートすることを強く推奨します。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、アクセス制限を強化することでリスクを軽減できます。Webアプリケーションファイアウォール（WAF）を導入し、locate_template()関数への不正なアクセスを検知・遮断するルールを設定することも有効です。また、WordPressのファイルパーミッションを適切に設定し、攻撃者がファイルを書き換えられないようにすることも重要です。アップデート後、プラグインの動作を確認し、セキュリティログを監視して不正なアクセスがないか確認してください。

アクティブインストール数

500K人気

プラグイン評価