Elementor向けWordPressプラグイン「LA-Studio Element Kit」に存在する重大なバックドア脆弱性により、2万件を超える稼働中のインストールが、認証不要の攻撃にさらされています。
2026年1月12日に発見されたこの欠陥により、攻撃者は認証なしで悪意のある管理者ユーザーを作成できます。
ヘッダービルダー、ウィジェット、WooCommerce対応を備えたElementorアドオンである同プラグインは、CVE-2026-0920としてCVSSスコア9.8(Critical)に分類されています。
影響を受けるバージョンは初期リリースから1.5.6.3までです。LA-Studioは、WordfenceのVulnerability Management Portalを通じた即時公開を受け、2026年1月14日にバージョン1.6.0で修正しました。
ベンダーは、2025年12月の退職間際に元従業員がバックドアコードを挿入したことを明らかにし、内部脅威リスクを浮き彫りにしました。
Wordfence Premium、Care、Responseのユーザーは2026年1月13日にファイアウォール保護を受けられました。無料ユーザーは2026年2月12日に提供されます。悪用を阻止するため、サイトは直ちに更新する必要があります。
攻撃者はlakit_bkroleパラメータを提供して、管理者権限を付与する難読化コードを発動させます。
新しいユーザーは完全な管理者アクセスを得て、永続的なバックドアのためのプラグイン/テーマのアップロード、コンテンツ改ざん、またはリダイレクトを可能にします。
翻訳元: https://cyberpress.org/wordpress-backdoor-hits-20000/