無料スキャン
MEDIUMCVE-2026-5162CVSS 6.4

Royal Addons for Elementor <= 1.7.1056 - 認証済み(Contributor+) Stored Cross-Site Scripting via Instagram Feed Widget

プラットフォーム

wordpress

コンポーネント

royal-elementor-addons

修正版

1.7.1057

1.7.1057

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存

Royal Addons for Elementorプラグインにおいて、Instagram Feedウィジェットの'instagramfollowtext'設定における不適切なサニタイズにより、Stored Cross-Site Scripting (XSS) 脆弱性が存在します。この脆弱性を悪用されると、Contributor権限以上の認証された攻撃者が悪意のあるスクリプトを注入し、ページを閲覧するユーザーに実行させることができます。影響を受けるバージョンは0.0.0から1.7.1056までですが、1.7.1057でこの問題は修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

Royal Addons for Elementor プラグインは、WordPress で Instagram Feed ウィジェットの 'instagramfollowtext' 設定を介して、Stored Cross-Site Scripting (XSS) の脆弱性を抱えています。この欠陥により、認証された攻撃者が、Contributor レベル以上のアクセス権を持つ場合、ページに任意の Web スクリプトを挿入できます。他のユーザーがこれらの挿入されたページにアクセスすると、スクリプトが実行され、Cookie の窃盗、不要なリダイレクト、さらにはページのコンテンツの変更につながる可能性があります。この脆弱性の深刻度は、CVSS スケールで 6.4 と評価されており、中程度のリスクを示しています。このリスクを軽減し、WordPress サイトを保護するために、プラグインを更新することが不可欠です。

悪用の状況

Royal Addons for Elementor を使用している WordPress サイトの Contributor 以上にアクセス権を持つ攻撃者は、この脆弱性を悪用できます。攻撃者は、Instagram Feed ウィジェットの 'instagramfollowtext' 設定に悪意のある JavaScript コードを挿入する可能性があります。このコードはデータベースに保存され、ウィジェットを含むページをユーザーが訪問するたびに実行されます。ユーザー入力の適切な検証がないことが、この挿入を可能にします。成功した悪用には、WordPress 管理パネルへの認証されたアクセスが必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート2 件の脅威レポート

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントroyal-elementor-addons
ベンダーwordfence
影響範囲修正版
1.0.0 – 1.7.10561.7.1057
1.7.10561.7.1057

パッケージ情報

アクティブインストール数
600K既知
プラグイン評価
4.8
WordPressが必要
5.0+
動作確認済みバージョン
7.0
PHPが必要
5.6+
ホームページ

弱点分類 (CWE)

CWE-79

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

推奨される解決策は、Royal Addons for Elementor プラグインを直ちにバージョン 1.7.1057 以降に更新することです。このバージョンには、XSS 脆弱性に対する修正が含まれています。さらに、Instagram Feed ウィジェットを使用しているすべてのページを確認し、以前に挿入された可能性のある疑わしいコードをすべて削除してください。強力なパスワードポリシーを施行し、管理者権限を持つすべてのユーザーアカウントに対して二要素認証 (2FA) を有効にすることで、将来の攻撃をさらに防止できます。ウェブサイトのログを定期的に監視して、異常なアクティビティがないか確認することは、積極的なセキュリティ対策です。

修正方法

バージョン1.7.1057、またはそれ以降のパッチバージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5162 とは何ですか?(royal-addons-for-elementor の Cross-Site Scripting (XSS))

XSS (Cross-Site Scripting) は、攻撃者が他のユーザーが閲覧する Web サイトに悪意のあるスクリプトを挿入できるセキュリティ脆弱性の種類です。これらのスクリプトは、機密情報を盗んだり、ユーザーの代わりにアクションを実行したりする可能性があります。

royal-addons-for-elementor の CVE-2026-5162 による影響を受けていますか?

WordPress では、'Contributor' ロールのユーザーは、コンテンツを公開および編集するための制限された権限を持っていますが、プラグインまたはテーマをインストールしたり、サイトの設定にアクセスしたりすることはできません。

royal-addons-for-elementor の CVE-2026-5162 を修正するにはどうすればよいですか?

WordPress 管理ダッシュボードで「更新」に移動して、プラグイン、テーマ、または WordPress コアの更新が利用可能かどうかを確認します。

CVE-2026-5162 は積極的に悪用されていますか?

サイトが侵害された疑いがある場合は、すべてのユーザーアカウントのパスワードをすぐに変更し、サイトをマルウェアスキャンし、クリーンなバックアップから復元することを検討してください。

CVE-2026-5162 に関する royal-addons-for-elementor の公式アドバイザリはどこで確認できますか?

Web サイトの XSS 脆弱性を検出するのに役立つ、無料および有料の脆弱性スキャンツールがいくつかあります。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索