Elementor向けに高機能なウィジェットやテンプレートを追加するプラグイン「ElementsKit Elementor Addons」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.8.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、本プラグインで作成したカスタムウィジェットの内容が空のテンプレートに上書きされる可能性があります。
対策として、バージョン 3.9.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、カスタムウィジェットの内容を初期状態に書き戻す(リセットする)処理において、その操作を実行できる人を制限する仕組みが欠けていたことに起因します。
本来この処理は、サイトの管理権限を持つ人だけが実行できるべきものでした。しかし実際には、操作者がログイン済みかどうか、正当な権限を持つかどうかを確認しておらず、特定のURLにアクセスするだけで誰でも処理を起動できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、次の被害が想定されます。
カスタムウィジェットの内容が初期化される
本プラグインで作成したカスタムウィジェットのデザイン・文章・設定が、空のテンプレートに上書きされます。上書き後は元の内容に自動では戻らないため、ウィジェットの作り直しが必要になる場合があります。
なお、上書きされる内容はプラグイン側であらかじめ決められた固定の初期テンプレートに限られます。攻撃者が任意の文章やプログラムを埋め込むこと、サイト内の情報を盗み見ること、管理者権限を乗っ取ることは確認されていません。被害は「対象ウィジェットの内容が初期化される」という範囲にとどまります。
被害発生の条件
攻撃者がサイトにアクセスできる状態であれば、管理者やユーザーの操作に関わらず攻撃が成立します(ログインしていない状態でも悪用される恐れがあります)。
技術的な詳細
(ここはやや専門的な内容です。)
本プラグインには、カスタムウィジェットの表示設定を初期状態に書き戻す処理が用意されていました。この処理は、サイトに誰かがアクセスするたびに毎回動く内部処理に結び付けられており、URLに「対象の投稿番号」と「特定の指定(action=elementor という値)」が含まれていると起動するようになっていました。
ところが処理を起動する際に、アクセス元がログイン済みの管理者であるかの確認や、その操作が正規の利用者自身によるものかを照合する仕組みが用意されていませんでした。
そのため、外部の第三者が条件を満たすURLにアクセスするだけで、対象ウィジェットの内容を上書きできる状態になっていました。
対策版(3.9.0)では、この処理の冒頭に「ログイン確認」と「管理権限の確認」が追加され、権限のない第三者は実行できないよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.9.0 以降)へ更新してください。
- 被害確認(カスタムウィジェットの内容を確認)
- WordPress管理画面で、ElementsKit のカスタムウィジェット一覧を開いてください。
- 各ウィジェットを開き、デザインや文章が消えて空の状態(初期テンプレート)になっていないか確認してください。
- 以前は内容があったウィジェットが空になっている場合は、本脆弱性による上書きの可能性があるため、バックアップからの復元または再作成をご検討ください。
- さらに詳しく調べたい場合は、サーバーのアクセスログで、URLに「action=elementor という指定」と「投稿番号(postパラメータ)」を同時に含むアクセスが、心当たりのない外部から行われていないかを確認する方法もあります。
- 追加のセキュリティ対策
- 本脆弱性はログイン不要で悪用されるため、不正なアクセスを遮断する仕組み(WAF:Web Application Firewall)の導入は、こうしたリクエストを遮断するうえで有効です。
⇒不審な上書きやアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
ElementsKit Elementor Addons 3.8.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4362 
(公開日 2026年5月5日 更新日 2026年5月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 6.5 (中) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-4362 悪用確率 0.31% (上位45%) 2026年6月4日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
ElementsKit Elementor Addons プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
