TrustBrain

WordPressでページビルダーElementorの機能を拡張するプラグイン「Element Pack Addons for Elementor」のバージョン 8.2.5 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、本来管理者のみが使用できるテンプレートインポート機能を不正に利用できてしまいます。対策バージョン 8.2.6 以降への更新を推奨します。

想定される事象

想定される被害

この脆弱性により、以下のような被害が想定されます

  • 任意のページが作成・公開される
    • サイトに登録済みの低権限ユーザーが、管理者権限なしでページを公開可能
    • 作成されたページは即座にサイト訪問者からアクセス可能となる
  • サイト設定が変更される
    • Elementorのサイト全体設定が書き換えられる
    • 大量のテンプレートやコンテンツが追加される
  • 内部ネットワークへのアクセス試行
    • 通常は外部からアクセスできない内部サービスへの接続が試行される

技術的な詳細

この脆弱性は、以下の問題に起因します

  1. 管理者機能の権限チェック不備
    • テンプレートインポート処理を実行する3つの機能において、ユーザーの権限レベル確認が実装されていない
    • ワンタイムトークンによる検証は実施されているが、実行ユーザーが管理者かどうかは確認されない
  2. インポート処理の自動実行
    • 取得したデータから自動的にページが作成され、公開状態に設定される
    • サイト設定を含むデータのインポートも、権限チェックなしで実行される

脆弱性の種類

CWE-918 サーバサイドのリクエストフォージェリ(SSRF) 

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します

  1. プラグインの更新
    • プラグインを対策バージョン(8.2.6以降)に即座に更新
  2. 被害確認
    • ページの確認
      • 身に覚えのないページが作成されていないか
      • 最近作成されたページ一覧をチェック
    • サイト設定の確認
      • Elementorのサイト設定に変更がないか
      • テンプレートライブラリに不審な項目がないか
    • ユーザーアカウントの確認
      • 登録ユーザーのリストを確認
      • 不審なアカウントの有無
  3. 追加のセキュリティ対策
    • ユーザー登録設定の見直し:必要に応じてユーザー登録機能を制限

⇒サイトに不審なページが作成されている場合や、身に覚えのない設定変更が見られる場合は、WordPressの専門家などへの相談をお勧めします。

影響を受けるバージョン

Element Pack Addons for Elementor 8.2.5 までのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-11536
(公開日 2025年10月20日 更新日 2025年10月21日)

脆弱性の深刻度 (CVSS v3)

基本値: 5.4 (警告)   [Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-11536 悪用確率 0.03% (上位95%) 2025年10月25日時点 

今後30日以内に悪用される確率 )

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

Copyright 2012-2024 Defiant Inc.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

Copyright 1999-2024 The MITRE Corporation

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

Element Pack Addons for Elementor プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン Element Pack Addons for Elementor 情報 (2025年10月26日 取得)

最新版 バージョン 8.2.6
対象 WordPress バージョン 5.0.0 またはそれ以降
検証済み最新バージョン : 6.8.3
有効インストール数 100,000+
関連 ページ プラグインページホームページ

CONTACT US

ご相談・お問い合わせ

月~金 10:00~17:00 受付

赤と青色で装飾された紙飛行機をイメージしたフォームへの誘導アイコン

問い合せフォムへ

さらに詳しく

2営業日以内に一次回答いたします