Elementorプラグイン向け「LA-Studio Element Kit」で発見された重大なバックドア脆弱性が、2万件を超えるWordPressインストールに対して差し迫った脅威となっています。
この脆弱性はCVE-2026-0920として追跡され、CVSS深刻度スコア9.8(Critical)に分類されています。未認証の攻撃者が管理者アカウントを作成し、サイトを完全に侵害できるようになります。
当該関数は登録時のユーザーロール割り当てを適切に制限できておらず、攻撃者は lakit_bkrole パラメータを悪用して自分に管理者権限を付与できます。悪意あるコードは意図的に難読化されており、故意の隠蔽が示唆されます。
影響を受けるバージョンは、プラグインの初期リリースから1.5.6.3までに及びます。攻撃者が管理者アクセスを得ると、悪意あるプラグインやテーマファイルをアップロードしたり、Webサイトの内容を改ざんしたり、スパムを注入したり、ユーザーをフィッシングサイトへリダイレクトしたりできます。
この攻撃は認証を必要としないため、未パッチのインストールにとって極めて危険です。
内部脅威の帰属
発見プロセスにより、憂慮すべき原因が明らかになりました。LA-Studioの元従業員が、2025年12月末の退職前に意図的にバックドアコードを注入していたのです。
この脆弱性は、LA-Studio_Kit_Integrationクラス内の ajax_register_handle 関数に存在します。
この内部脅威は、コードレビュー手順、開発者の監視、従業員のオフボーディング手続きにおける重大な欠陥を浮き彫りにしています。組織は、開発者アカウントを停止する前に、厳格なアクセス制御とコード監査を実施しなければなりません。
この脆弱性は、2026年1月12日にWordfenceのバグバウンティプログラムを通じて責任ある形で報告されました。
Wordfenceは24時間以内にエクスプロイトを検証し、直ちに脆弱性管理ポータルを通じてLA-Studioへ通知しました。
ベンダーは称賛に値する迅速な対応を示し、報告を確認したうえで、2026年1月14日に修正版の1.6.0をリリースしました。対応までわずか1日という短期間でした。
セキュリティ研究者のAthiwat Tiprasaharn、Itthidej Aramsri、Waris Damkhamは、この発見により獲得した報奨金975ドルを受け取り、協調的な脆弱性研究の価値を示しました。
防御とパッチ適用戦略
Wordfence Premium、Care、Responseのユーザーは、2026年1月13日にファイアウォール保護を受け取りました。無料のWordfenceユーザーは、2026年2月12日に同じ保護を利用できるようになり、有料顧客には30日間の優位性が提供されます。
この段階的な保護モデルはプレミアム購読を促しつつ、最終的にはより広いユーザーベースをカバーします。
Elementor向けLA-Studio Element Kitを使用しているすべてのWordPressサイト管理者は、直ちにバージョン1.6.0へ更新する必要があります。
この脆弱性は重大であることに加え、悪用が容易で、サイトの完全な乗っ取りにつながる可能性があるため、迅速なパッチ適用が不可欠です。管理者はプラグインのバージョンを確認し、遅滞なく更新を適用してください。
このインシデントは、WordPressセキュリティにおける進化する脅威状況を浮き彫りにしています。人気プラグインを標的とした内部脅威は、同時に数万のサイトへ影響を及ぼし得ます。
組織は、コードレビュー手順、開発者の監視、アクセス剥奪手続き、定期的なセキュリティ監査を含む多層的なセキュリティ対策を実装しなければなりません。
WordPressサイト所有者には、この注意喚起を影響を受けるプラグインを使用している同業者と共有し、セキュリティプラグインまたはマネージドセキュリティサービスを通じて包括的な脆弱性監視を実施することが強く推奨されます。
翻訳元: https://gbhackers.com/wordpress-sites-3/
