概要
WordPressサイト向けの二つの人気プラグイン、「King Addons for Elementor」と「Advanced Custom Fields: Extended」において、深刻な脆弱性が積極的に悪用されていることが報告されました。これらの脆弱性は、攻撃者にサイトの完全な制御を許す可能性があり、WordPressサイトの管理者は迅速な対応が求められます。
King Addons for Elementorの特権昇格脆弱性
Elementorの人気アドオンである「King Addons for Elementor」に、特権昇格の脆弱性(CVE-2025–8489)が発見されました。この脆弱性は、登録プロセス中にユーザーが自身のユーザーロールを管理者として指定することを許可してしまうものです。King Addonsは約10,000のウェブサイトで使用されています。
攻撃の詳細
- 攻撃開始日: 2025年10月31日
- 攻撃手法: 攻撃者は細工された「admin-ajax.php」リクエストを送信し、「user_role=administrator」を指定することで、不正な管理者アカウントを作成します。
- 検出状況: Wordfenceのセキュリティスキャナーは、これまでに48,400件以上の悪用試行をブロックしました。
- 活動ピーク: 11月9日から10日にかけて、2つのIPアドレス(45.61.157.120と2602:fa59:3:424::1)からの攻撃が特に活発でした。
推奨される対策
ウェブサイト管理者は、King Addonsをバージョン51.1.35に直ちにアップグレードすることを強く推奨します。このバージョンは2025年9月25日にリリースされており、CVE-2025–8489を修正しています。また、サイトのログファイルで上記の悪意あるIPアドレスや新しい管理者アカウントの存在を確認することも重要です。
Advanced Custom Fields: Extendedのリモートコード実行脆弱性
10万以上のWordPressウェブサイトで利用されている「Advanced Custom Fields: Extended」プラグインにも、認証されていない攻撃者によるリモートコード実行の脆弱性(CVE-2025-13486)が発見されました。
脆弱性の詳細
- 影響を受けるバージョン: 0.9.0.5から0.9.1.1
- 発見者: ポーランドの国家コンピュータ緊急対応チーム(CERT)の責任者であるMarcin Dudek氏
- 原因: ユーザー入力を受け入れて「call_user_func_array()」に渡す関数に起因し、認証されていない攻撃者がサーバー上で任意のコードを実行できる可能性があります。これにより、バックドアの注入や新しい管理者ユーザーアカウントの作成につながる恐れがあります。
推奨される対策
この脆弱性は11月18日に報告され、プラグインベンダーは報告の翌日にバージョン0.9.2で修正版をリリースしました。認証なしで悪用できる可能性があるため、技術的詳細が公開されることで悪意のある活動が活発化する可能性があります。ウェブサイト管理者は、できるだけ早く最新バージョンに移行するか、プラグインを無効にすることを強く推奨します。
まとめ
WordPressサイトのセキュリティを維持するためには、使用しているプラグインの脆弱性情報を常に把握し、速やかに最新バージョンへのアップデートを行うことが不可欠です。定期的なバックアップとセキュリティ監視も、潜在的な攻撃からサイトを保護するために重要な手段となります。