CVE-2025-24752: Massive WordPress Plugin Vulnerability Exposes Millions to XSS Attacks
2025/02/25 SecurityOnline — 広く使用されている WordPress プラグイン Essential Addons for Elementor に、深刻度の高いセキュリティ上の欠陥が発見され、200 万を超える Web サイトが危険にさらされているという。この脆弱性 CVE-2025-24752 の悪用に成功した攻撃者は、無防備なユーザーのブラウザに有害なスクリプトを挿入できる、反射型クロス・サイト・スクリプティング (XSS) の可能性を手にする。
Elementor ページ・ビルダーにバンドルされる人気のエクステンションである Essential Addons for Elementor には、膨大なユーザー・ベースがあるため、この脆弱性はきわめて懸念されるものである。この脆弱性は、ポップアップ機能のトリガーで用いられるパラメーターである、”popup-selector” クエリ引数のプラグインの処理に存在する。
Patchstack の詳細分析によると、この脆弱性 CVE-2025-24752 は、このクエリ引数の検証と不十分なサニタイズに起因するとのことだ。具体的に言うと、このプラグインはアンダースコア記号をスペースに置き換え、引数の値をチェックせずに、ページへとダイレクトにエンベッドしている。この精査の欠如により、攻撃者に対して、悪意の JavaScript コードの挿入を許す余地が生まれている。
この攻撃ベクターの容易さにより、さらに危険なものとなっている。つまり、悪意の URL を作成する攻撃者は、ユーザーの認証情報の窃取/フィッシング・サイトへの訪問者のリダイレクト/Web サイト全体の改竄などの可能性を手にする。
この脆弱性は、”src/js/view/general.js” ファイル内に存在する。したがって、このプラグインが、ページの読み込み時に “popup-selector” 引数を処理するため、問題のある操作が可能になる。
この問題の深刻度は、CVSS スコア 7.1 と評価され、高リスクの脆弱性であることを示している。幸いなことに、すでに Essential Addons for Elementor の開発者は、バージョン 6.0.15 をリリースし、この欠陥に対処している。
このパッチでは、”popup-selector” 変数の厳格な検証が導入され、その対象を、英数字と安全な記号のグループに制限している。この予防策により、一般的な XSS 攻撃方法は効果的にブロックされるという。
Essential Addons for Elementor の、すべてのユーザーに対して強く推奨されるのは、バージョン 6.0.15 への速やかなアップデートである。このアップデートは、Web サイトとユーザーを、潜在的な攻撃から保護するために不可欠なものである。
人気のホームページ・ビルダー Elementor にバンドルされた、Essential Addons for Elementor に XSS 脆弱性です。手軽で便利なツールではありますが、広く使用されるプラグインほど、攻撃者に狙われやすいため、注意が必要です。よろしければ、WordPress で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.