プラットフォーム
wordpress
コンポーネント
xpro-elementor-addons
修正版
1.4.25
Xpro Addons — 140+ Widgets for ElementorプラグインのIcon Boxウィジェットにおいて、不適切な入力検証と出力エスケープ処理が施されていないため、Stored Cross-Site Scripting (XSS) 脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者は、Contributor以上の権限を持つユーザーがアクセスするページに悪意のあるスクリプトを注入することが可能です。影響を受けるバージョンは1.0.0から1.4.24です。バージョン1.4.25でこの脆弱性は修正されています。
CVE-2026-2949は、WordPress用のXpro Addons — 140+ウィジェット for Elementorプラグインに影響を与え、バージョン1.4.24まで、Icon Boxウィジェットを介してStored Cross-Site Scripting (XSS)の脆弱性を公開します。貢献者レベル以上のアクセス権を持つ認証された攻撃者は、任意のWebスクリプトをページに挿入できます。これらのスクリプトは、ユーザーが挿入されたページにアクセスするたびに実行されます。これにより、攻撃者は潜在的に機密情報を盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、ユーザーの代わりにアクションを実行したりする可能性があります。CVSSスコアが6.4であることは、多数のユーザーがいるサイトや機密データを処理するサイトの場合、中程度から高いリスクを示しています。
Xpro Addonsバージョン1.4.24またはそれ以前のバージョンを使用しているWordPressサイトに、貢献者レベル以上の認証されたアクセス権を持つ攻撃者は、この脆弱性を悪用できます。攻撃は、Icon Boxウィジェットを介して悪意のあるJavaScriptコードを挿入することによって行われます。コードはWebサイトのデータベースに保存され、スクリプトが挿入されたページをユーザーが訪問するたびに実行されます。適切な入力検証と出力エンコーディングの欠如により、この挿入が可能になります。攻撃の成功は、攻撃者がWordPress管理パネルへの認証されたアクセスを取得できるかどうかに依存します。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
主な軽減策は、Xpro Addonsプラグインをバージョン1.4.25以降に更新することです。このアップデートには、悪意のあるスクリプトの挿入を防ぐために必要な修正が含まれています。さらに、特権を持つユーザーによって編集されたものなど、WordPressページを疑わしいコンテンツについて確認してください。堅牢なパスワードポリシーを施行し、すべての管理者ユーザーに対して二要素認証(2FA)を有効にすることで、不正アクセスリスクを大幅に軽減できます。潜在的な脆弱性を積極的に特定して対処するために、定期的なセキュリティ監査も推奨されます。Web Application Firewall(WAF)の使用を検討して、追加の保護レイヤーを追加してください。
バージョン1.4.25、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
XSSは、攻撃者が他のユーザーが閲覧するWebサイトに悪意のあるスクリプトを挿入できるセキュリティ脆弱性の種類です。これらのスクリプトは、情報を盗んだり、ユーザーをリダイレクトしたり、ユーザーの代わりにアクションを実行したりする可能性があります。
認証済みとは、攻撃者が貢献者レベル以上の権限を持つアカウントでWordPressウェブサイトにログインしている必要があるということです。
Xpro Addonsバージョン1.4.24またはそれ以前のバージョンを使用している場合、ウェブサイトは脆弱です。問題を解決するために、プラグインを最新バージョンに更新してください。
自分のウェブサイトが侵害された疑いがある場合は、すぐにすべての管理者パスワードを変更し、ウェブサイトをマルウェアスキャンし、クリーンなバックアップから復元することを検討してください。
はい、堅牢なパスワードポリシーを実装し、二要素認証(2FA)を有効にし、すべてのプラグインとテーマを最新の状態に保ち、Web Application Firewall(WAF)の使用を検討できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。