概要:WordPressプラグインに深刻なバックドア脆弱性
Elementorプラグイン向けのLA-Studio Element Kitに致命的なバックドア脆弱性が発見され、20,000以上のWordPressサイトに差し迫った脅威をもたらしています。この脆弱性はCVE-2026-0920として追跡されており、CVSS深刻度評価は9.8(Critical)とされています。認証されていない攻撃者が管理者アカウントを作成し、サイトを完全に掌握する可能性があります。
この脆弱性は、ユーザー登録時にユーザーロールの割り当てが適切に制限されないことに起因します。攻撃者はlakit_bkroleパラメータを悪用して、自身に管理者権限を付与することができます。悪意のあるコードは意図的に難読化されており、隠蔽工作が示唆されています。影響を受けるバージョンは、プラグインの初期バージョンからバージョン1.5.6.3までです。
攻撃者が管理者アクセスを取得すると、悪意のあるプラグインやテーマファイルをアップロードしたり、ウェブサイトのコンテンツを変更したり、スパムを挿入したり、ユーザーをフィッシングサイトにリダイレクトしたりする可能性があります。この攻撃は認証を必要としないため、パッチが適用されていないインストールにとって極めて危険です。
内部関係者による脅威の背景
この脆弱性の発見プロセスにより、懸念すべき原因が明らかになりました。LA-Studioの元従業員が、2025年12月の退職前に意図的にバックドアコードを注入していたことが判明しました。脆弱性は、LA-Studio_Kit_Integrationクラス内のajax_register_handle関数に存在します。(情報源:Wordfence)
この内部関係者による脅威は、コードレビュープロセス、開発者モニタリング、および従業員の退職手続きにおける重大なギャップを浮き彫りにしています。組織は、開発者アカウントを停止する前に、厳格なアクセス制御とコード監査を実施する必要があります。
迅速な対応とパッチ適用
この脆弱性は、2026年1月12日にWordfenceバグバウンティプログラムを通じて責任ある開示が行われました。Wordfenceは24時間以内にエクスプロイトを検証し、Wordfenceの脆弱性管理ポータルを通じてLA-Studioに即座に通知しました。ベンダーは賞賛に値する対応を示し、報告を認め、わずか1日でパッチが適用されたバージョン1.6.0を2026年1月14日にリリースしました。
セキュリティ研究者のAthiwat Tiprasaharn氏、Itthidej Aramsri氏、Waris Damkham氏は、この発見により975ドルの報奨金を得ており、協調的な脆弱性研究の価値を示しています。
保護とパッチ適用戦略
Wordfence Premium、Care、およびResponseユーザーは2026年1月13日にファイアウォール保護を受けました。無料のWordfenceユーザーは2026年2月12日に同じ保護を受けることになり、有料顧客には30日間のアドバンテージが提供されます。この段階的な保護モデルは、プレミアムサブスクリプションを奨励しつつ、最終的にはより広範なユーザーベースをカバーします。
LA-Studio Element Kit for Elementorを使用しているすべてのWordPressサイト管理者は、直ちにバージョン1.6.0に更新する必要があります。この脆弱性の致命的な性質、悪用の容易さ、およびサイト全体を乗っ取る可能性を考慮すると、迅速なパッチ適用が不可欠です。管理者はプラグインのバージョンを確認し、遅滞なく更新を適用すべきです。
このインシデントは、WordPressセキュリティにおける脅威の状況が進化していることを明確に示しています。人気のあるプラグインを標的とする内部関係者による脅威は、数万のサイトに同時に影響を与える可能性があります。組織は、コードレビュープロセス、開発者モニタリング、アクセス取り消し手順、および定期的なセキュリティ監査を含む、多層的なセキュリティ制御を実装する必要があります。
WordPressサイトの所有者は、影響を受けるプラグインを使用している同僚にこの注意喚起を共有し、セキュリティプラグインやマネージドセキュリティサービスを通じて包括的な脆弱性監視を実装することが推奨されます。