CVE-2026-4024 in Royal Addons for Elementor Plugin
要約
〜によって VulDB • 2026年05月30日
WordPress用プラグイン「Royal Addons for Elementor」には、`wpr_update_form_action_meta` AJAXアクションにおける権限チェックの欠如により、すべてのバージョン(1.7.1056を含む)でデータへの不正な変更が可能となる脆弱性が存在します。このハンドラは`wp_ajax`および`wp_ajax_nopriv`フックの両方に登録されており、認証されていないユーザーからもアクセス可能です。nonceの検証は行われますが、そのnonce(`wpr-addons-js`)は、Royal Addonsウィジェットを読み込む任意のページにおいて`WprConfig.nonce`を通じてフロントエンドのJavaScriptに公開されており、保護機能が無効化されています。さらに、このエンドポイントには権限チェックや所有権チェックが一切実装されておらず、ホワイトリストに登録されたフォームアクションのメタキーに対して、ユーザーが制御可能な入力を用いて直接`update_post_meta()`が呼び出されます。これにより、認証されていない攻撃者は任意の投稿におけるフォームアクション設定のメタデータ(メール、送信、Mailchimp、Webhook設定)を変更することが可能となり、Webhookやメールアクションの改ざん、および変更されたWebhook URLを介したデータ漏洩につながる可能性があります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.