概要
WordPressプラグイン「Page Builder by SiteOrigin」のバージョン2.33.5およびそれ以前のバージョンに、ローカルファイルインクルージョン(LFI)の脆弱性(CVE-2026-2448)が報告されました。この脆弱性は、プラグイン内のlocate_template()関数を介して悪用される可能性があります。認証された攻撃者(寄稿者以上の権限を持つユーザー)がこの脆弱性を悪用することで、サーバー上の任意のファイルをインクルードし、PHPコードを実行できる恐れがあります。
影響範囲
- 対象製品: WordPressプラグイン「Page Builder by SiteOrigin」
- 対象バージョン: 2.33.5およびそれ以前のすべてのバージョン
想定される影響
この脆弱性が悪用された場合、以下のような深刻な影響が想定されます。
- 任意のPHPコード実行: 攻撃者はサーバー上で任意のPHPコードを実行できる可能性があります。これにより、ウェブサイトの改ざん、不正なコンテンツの表示、データの窃取、さらにはサーバーの完全な乗っ取りにつながる恐れがあります。
- アクセス制御のバイパス: 既存のアクセス制御を回避し、本来アクセスできない管理機能や機密情報にアクセスされる可能性があります。
- 機密情報の取得: サーバー上の設定ファイル、データベース接続情報、ユーザー情報など、機密性の高い情報が漏洩する可能性があります。
攻撃成立条件・悪用状況
攻撃成立条件
- WordPressサイトに「Page Builder by SiteOrigin」プラグインがインストールされており、バージョンが2.33.5以下であること。
- 攻撃者が「寄稿者(Contributor)」以上の権限を持つ認証済みユーザーであること。
- 画像ファイルなど「安全」と見なされるファイルタイプをアップロードできる環境で、それらのファイルがインクルードされる可能性がある場合。
悪用状況
現在のところ、この脆弱性の活発な悪用状況に関する具体的な報告は確認されていません。
推奨対策
最優先で実施すべき対策
- プラグインのアップデート: 「Page Builder by SiteOrigin」プラグインを、脆弱性が修正された最新バージョン(2.33.5より新しいバージョン)に速やかにアップデートしてください。公式のアナウンスを確認し、指示に従うことが重要です。
中長期的な対策
- 最小権限の原則の徹底: WordPressユーザーの権限を見直し、必要最小限の権限のみを付与するように徹底してください。特に、信頼できないユーザーに「寄稿者」以上の権限を与えないように注意してください。
- 定期的なバックアップ: 万が一の事態に備え、ウェブサイトのデータとデータベースの定期的なバックアップを確実に実施してください。
一時的な緩和策
プラグインのアップデートがすぐに困難な場合、一時的な緩和策として、信頼できないユーザーからのファイルアップロードを制限する、または「寄稿者」以上の権限を持つユーザーの活動を厳重に監視するなどの措置が考えられます。しかし、これらは根本的な解決策ではないため、速やかなアップデートが強く推奨されます。
確認方法
ご自身のWordPressサイトにインストールされている「Page Builder by SiteOrigin」プラグインのバージョンを確認してください。WordPress管理画面の「プラグイン」セクションで、該当プラグインのバージョン情報を確認できます。バージョンが2.33.5以下である場合は、脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-2448 詳細: https://cvefeed.io/vuln/detail/CVE-2026-2448