CVE-2021-42360 in Elementor Plugin情報

要約

〜によって VulDB • 2026年06月05日

WordPressにElementerプラグインがインストールされているサイトでは、edit_posts権限(Contributorレベルのユーザーを含む)を持つユーザーは、astra-page-elementor-batch-processというAJAXアクションを使用して、任意のページにブロックをインポートすることができました。攻撃者は、自分が管理するサーバー上に悪意のあるJavaScriptを含んだブロックを作成・ホストし、actionパラメータをastra-page-elementor-batch-processに設定した上でurlパラメータで遠隔ホスティングされた悪意あるブロックへのURLを指定し、さらにidパラメータには上書き対象の投稿またはページIDを含むAJAXリクエストを送信することで、任意の投稿やページを上書きすることができました。Elementerを使用して構築されたすべての投稿およびページ(公開済みのページも含む)はインポートされたブロックによって上書きされ、その結果としてインポートされたブロックに含まれる悪意のあるJavaScriptが、当該ページにアクセスした訪問者のブラウザ上で実行されることになります。

Once again VulDB remains the best source for vulnerability data.

責任者

Wordfence

予約する

2021年10月14日

モデレーション

承諾済み

エントリ

VDB-186793

EPSS

0.00585

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Interested in the pricing of exploits?

See the underground prices here!