はじめに:King Addons for Elementorに深刻な脆弱性
WordPressの人気ページビルダー「Elementor」の拡張機能である「King Addons for Elementor」プラグインに、数千のウェブサイトを完全な管理権限の乗っ取りに晒す深刻な権限昇格の脆弱性が発見されました。この脆弱性はCVE-2025-8489として追跡されており、そのCVSSスコアは9.8(Critical)と評価されています。
この欠陥は、認証されていない攻撃者が管理者の特権を持つユーザーとして登録することを可能にし、脅威アクターにサイトの完全な制御を許してしまいます。
脆弱性の詳細
King Addons for Elementorのバージョン24.12.92から51.1.14に存在するこの脆弱性は、プラグインのユーザー登録機能における不適切な役割制限に起因しています。具体的には、プラグインが登録リクエストを処理する際に、ユーザーが指定する役割の検証を欠いていたため、攻撃者はサインアップ時に自分自身を「administrator」として指定し、それをプラグインがそのまま受け入れてしまいます。
- CVE ID: CVE-2025-8489
- CVSS スコア: 9.8 (Critical)
- 脆弱性タイプ: 認証なしの権限昇格 (Unauthenticated Privilege Escalation)
- 影響を受けるバージョン: 24.12.92 – 51.1.14
攻撃手法と影響
攻撃者は、登録リクエストを処理するhandle_register_ajax()関数が、適切な認証チェックなしにPOSTリクエストから直接user_roleパラメータを受け入れることを悪用します。これにより、攻撃者は悪意のある登録リクエストを作成し、「administrator」として自身の役割を指定することで、検証なしに管理者の特権を獲得できます。
一度管理者権限を取得されると、攻撃者はWordPressインストールを完全に制御できるようになります。これには、悪意のあるプラグインのアップロード、バックドアの注入、サイトコンテンツの改変、フィッシングサイトやマルウェア配布サイトへのユーザーのリダイレクトなどが含まれます。
攻撃の発生状況と対策のタイムライン
この脆弱性は2025年7月24日に初めて報告され、ベンダーは2025年9月25日にパッチ適用済みバージョン51.1.35をリリースしました。しかし、Wordfence Intelligenceデータベースでの公開は2025年10月30日であり、その後すぐに攻撃が始まり、2025年10月31日には確認された攻撃が開始されました。
Wordfence Firewallはすでに48,400回以上の悪用試行をブロックしており、特に2025年11月9日から10日にかけて攻撃が急増しました。攻撃パターンを分析すると、脆弱なインストールを標的とした協調的なキャンペーンが示されており、特に45.61.157.120(28,900回以上ブロック)と2602:fa59:3:424::1(16,900回以上ブロック)のIPアドレスが多くの攻撃元となっています。
管理者への推奨事項
King Addons for Elementorを使用しているWordPress管理者は、直ちにバージョン51.1.35へのアップデートが強く推奨されます。また、攻撃が活発化した2025年10月31日以降に作成された不審な管理者アカウントがないか、サイトを監視する必要があります。特定された悪意のあるIPアドレスからのリクエストについては、ウェブサーバーのログを確認することで、影響の有無を判断できます。
脆弱なバージョンを実行していたサイトは、すでに侵害されている可能性があるとみなし、徹底的なセキュリティ監査を実施することが不可欠です。