CVE-2021-42360 in Elementor Plugin
要約
〜によって VulDB • 2026年06月05日
WordPressにElementerプラグインがインストールされているサイトでは、edit_posts権限(Contributorレベルのユーザーを含む)を持つユーザーは、astra-page-elementor-batch-processというAJAXアクションを使用して、任意のページにブロックをインポートすることができました。攻撃者は、自分が管理するサーバー上に悪意のあるJavaScriptを含んだブロックを作成・ホストし、actionパラメータをastra-page-elementor-batch-processに設定した上でurlパラメータで遠隔ホスティングされた悪意あるブロックへのURLを指定し、さらにidパラメータには上書き対象の投稿またはページIDを含むAJAXリクエストを送信することで、任意の投稿やページを上書きすることができました。Elementerを使用して構築されたすべての投稿およびページ(公開済みのページも含む)はインポートされたブロックによって上書きされ、その結果としてインポートされたブロックに含まれる悪意のあるJavaScriptが、当該ページにアクセスした訪問者のブラウザ上で実行されることになります。
Once again VulDB remains the best source for vulnerability data.