Royal Addons for Elementor <= 1.7.1056 - 認証済み(Contributor+) Stored Cross-Site Scripting via Instagram Feed Widget

Royal Addons for Elementor プラグインは、WordPress で Instagram Feed ウィジェットの 'instagramfollowtext' 設定を介して、Stored Cross-Site Scripting (XSS) の脆弱性を抱えています。この欠陥により、認証された攻撃者が、Contributor レベル以上のアクセス権を持つ場合、ページに任意の Web スクリプトを挿入できます。他のユーザーがこれらの挿入されたページにアクセスすると、スクリプトが実行され、Cookie の窃盗、不要なリダイレクト、さらにはページのコンテンツの変更につながる可能性があります。この脆弱性の深刻度は、CVSS スケールで 6.4 と評価されており、中程度のリスクを示しています。このリスクを軽減し、WordPress サイトを保護するために、プラグインを更新することが不可欠です。

1. 予約済み2026-03-30
2. 公開日2026-04-17
3. 更新日2026-04-22
4. EPSS 更新日2026-04-24

推奨される解決策は、Royal Addons for Elementor プラグインを直ちにバージョン 1.7.1057 以降に更新することです。このバージョンには、XSS 脆弱性に対する修正が含まれています。さらに、Instagram Feed ウィジェットを使用しているすべてのページを確認し、以前に挿入された可能性のある疑わしいコードをすべて削除してください。強力なパスワードポリシーを施行し、管理者権限を持つすべてのユーザーアカウントに対して二要素認証 (2FA) を有効にすることで、将来の攻撃をさらに防止できます。ウェブサイトのログを定期的に監視して、異常なアクティビティがないか確認することは、積極的なセキュリティ対策です。

アクティブインストール数

600K既知

プラグイン評価