【2024年11月版】Elementor Website Builderのバージョンと脆弱性情報

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年11月13日に執筆しています。

今回はElementor Website Builderのバージョンと脆弱性への対応状況についてまとめてみたいと思います。

Elementor Website Builderは、WordPress向けのページビルダー・プラグインであり、Elementor社によって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは1000万以上、総ダウンロード数5億2844万回以上を計測しており、世界でも最も人気のあるプラグインの一つと言ってよいでしょう。

一方で、世界でも人気のあるプラグインであるため、攻撃対象になりやすい側面もあります。

そこで、この記事では、企業のWeb担当の皆様に向けて、Elementor Website Builderの概要並びに、脆弱性及びその対応状況をご紹介することで、Elementor Website Builderを安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

Elementor Website Builderとは

前述の通り、Elementor Website Builderは、Elementor社によって開発・サポートが継続されている、オープンソースのWordPress向けプラグインです。

このプラグインを使用すると、ドラッグ&ドロップ操作で簡単にウェブページを作成できます。
コードを書くことなく、豊富なウィジェットやテンプレートを使ってデザインを構築でき、初心者からWeb制作会社まで幅広いユーザーに支持されています。

また、レスポンシブデザインに対応しており、ビジュアルエディタでリアルタイムに変更を確認しながら編集できるため、効率的なウェブサイト制作が可能です。

しかしながら、実際のところ、当社のようなWeb制作会社の場合、Elementor Website Builderの無料版を利用することはあまりありません。

Elementor Website Builderは直感的な操作でデザインを構築できますが、細部のカスタマイズや独自の機能追加には制約がありますし、ページのレイアウトや設定をデータベースに多くの情報として保存するため、大規模なサイトではデータベースクエリが増加し、重くなるという問題があります。

また、セキュリティ保守の観点からは、レンタルサーバーのWAF(Web Application Firewall)とバッティングすることがある点や、脆弱性が非常に頻繁に見つかっている点も使用しにくい点です。

それでも、当社がこれまでに保守を引き受けたWordPressサイトでは、Elementor Website Builderが良く使用されています。

日本国内でも非常に人気のあるプラグインの一つという印象です。

Elementor Website Builderの機能

ドラッグ&ドロップ
エディタ
直感的な操作で、コードを書くことなくウェブページを構築できます。
ウィジェットをキャンバス上にドラッグ&ドロップするだけで、レイアウトやデザインを自由にカスタマイズ可能です。
基本ウィジェット 見出し、テキスト、画像、テキストエディタ、動画、ボタン、アイコン、Googleマップなど、無料版でも多くの基本ウィジェットを利用できます。
テンプレートライブラリ 無料版でも多くのテンプレートが用意されており、これらを活用して迅速にページを作成できます。
テンプレートはある程度カスタマイズ可能で、デザインの調整ができます。
レスポンシブデザイン デスクトップ、タブレット、スマートフォンなど、各デバイスに最適化された表示を確認しながらデザインできます。
履歴機能 変更履歴を保存し、過去のバージョンに簡単に戻すことができます。
誤った変更を元に戻したり、以前のデザインを再利用したりする際に便利です。

開発・アップデートの継続

前述のように、有名なプラグイン(ダウンロード数が多いプラグイン)は、攻撃のターゲットとして狙われやすいという側面があります。

当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体(コア)の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。

一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※「20 WordPress Statistics You Should Know in 2023」によれば、WordPressに関連する脆弱性の約90%はプラグインに、6%はテーマに、残りの4%はWordPressコアに起因しているとのことです。

特に、Elementor Website Builderのようなダウンロード数の多いプラグインは、多くのユーザーに利用されているため狙われやすい傾向にあります。
そのため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントに推奨していません。

Elementor Website Builderは定期的にアップデートされ、脆弱性が迅速に修正されているため、問題ないと考えておりますが、2024年10月に、CVE-2024-6757が採番されていますので、バージョン3.24.5以下をご利用になられている場合には、最新バージョンへのアップデートを推奨いたします。

Elementor Website Builderのバージョン情報に関するポイント

公式サイトに直接的な記載は見つけることができませんでしたが、Elementor Website Builderでは、一般的なセマンティックバージョニングが採用されているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります。

2024年11月13日現在、Elementor Website Builderの最新バージョンは3.25.4であり、WordPress6.7までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)対象は最新パッチバージョンのみであることから、最新パッチバージョンへのアップデートを推奨いたします。

なお、Elementor Website Builder 3.24.5以下のバージョンをご使用の場合には、既知の脆弱性が存在している可能性がありますので、最新バージョンへとアップデートをしてください。

特に、Elementor Website Builder 3.19.0以下のバージョンをご使用の場合には、重要レベルの脆弱性が存在している可能性がありますので、最新バージョンへとアップデートを強く推奨いたします。

Elementor Website Builderのバージョン情報

2024年11月13日現在での、Elementor Website Builderのバージョン情報は次の通りです。

バージョン リリース日 サポート期限 修正された脆弱性
3.25.4 2024年11月3日 サポート中
3.25.3 2024年10月30日 2024年11月3日
3.25.2 2024年10月29日 2024年10月30日
3.25.1 2024年10月28日 2024年10月29日
3.25.0 2024年10月28日 2024年10月28日
3.24.8 2024年10月28日 2024年10月28日
3.24.7 2024年10月15日 2024年10月28日
3.24.6 2024年10月9日 2024年10月15日 CVE-2024-6757
3.24.5 2024年10月1日 2024年10月9日
3.24.0 2024年9月10日 2024年9月12日 CVE-2024-5416
3.22.2 2024年6月24日 2024年6月26日 CVE-2024-37437
3.21.6 2024年5月20日 2024年5月22日 CVE-2024-4619
3.20.3 2024年3月26日 2024年4月10日 CVE-2024-2117
3.19.1 2024年2月5日 2024年2月7日 CVE-2024-24934
3.19.0 2024年1月29日 2024年2月5日 CVE-2024-0506
3.18.2 2023年12月8日 2023年12月20日 CVE-2023-48777
3.16.5 2023年10月9日 2023年10月17日 CVE-2023-47505
CVE-2023-47504
3.13.3 2023年5月22日 2023年5月28日 CVE-2023-33922
3.13.2 2023年5月11日 2023年5月22日 Wordfence
3.13.0 2023年5月8日 2023年5月9日 CVE-2023-0329
3.6.3 2022年4月12日 2022年4月13日 CVE-2022-1329
3.5.6 2022年2月28日 2022年3月22日 CVE-2022-29455
3.5.5 2022年2月3日 2022年2月28日 CVE-2022-4953
3.4.8 2021年11月16日 2021年12月14日 CVE-2021-24891
3.1.4 2021年3月8日 2021年4月19日 CVE-2021-24206
CVE-2021-24205
CVE-2021-24204
CVE-2021-24203
CVE-2021-24202
CVE-2021-24201
3.0.14 2020年11月25日 2020年12月21日 CVE-2020-36171
2.9.14 2020年7月21日 2020年8月23日 CVE-2020-15020
2.9.9 2020年5月24日 2020年6月1日 CVE-2020-13865
CVE-2020-13864
2.9.8 2020年4月21日 2020年5月24日 CVE-2020-36703
2.9.6 2020年3月12日 2020年3月25日 CVE-2020-20634
2.9.3 2020年2月26日 2020年3月4日 CVE-2020-20406
2.8.5 2020年1月27日 2020年2月10日 CVE-2020-8426
2.8.4 2020年1月19日 2020年1月27日 CVE-2020-7109
2.7.6 2019年12月8日 2019年12月9日 Wordfence
2.7.5 2019年10月28日 2019年12月8日 CVE-2020-7055
1.8.0 2017年11月7日 2017年11月9日 CVE-2017-18596

※上記の内容は、chengelog for all versionsの情報を正として、バージョン3.24.5までを掲載しています。また、3.24.4以下のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン3.24.5以下には既知の脆弱性が存在するため、グレーにしています。

Elementor Website Builderの脆弱性情報

Elementor Website Builderの最新バージョンは3.25.4であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、Elementor Website Builder 3.24.5以下のバージョンをご使用の場合には、既知の脆弱性が存在している可能性がありますので、最新バージョンへとアップデートをしてください。

特に、Elementor Website Builder 3.19.0以下のバージョンをご使用の場合には、重要レベルの脆弱性が存在している可能性がありますので、最新バージョンへとアップデートを強く推奨いたします。

なお、Elementor Website Builder自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン
CVE-2024-37437
JVNDB-2024-006893
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.22.1までのバージョン ・Elementor Website Builder 3.22.2
CVE-2024-24934
CVE-2024-24934 Detail
CVSS v3
8.8 (重要)
・Elementor Website Builder 3.19.0までのバージョン ・Elementor Website Builder 3.19.1
CVE-2024-6757
JVNDB-2024-010860
CVSS v3
4.3 (警告)
・Elementor Website Builder 3.24.5までのバージョン ・Elementor Website Builder 3.24.6
CVE-2024-5416
JVNDB-2024-009214
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.23.4までのバージョン ・Elementor Website Builder 3.24.0
CVE-2024-4619
CVE-2024-4619 Detail
CVSS v3
6.4 (警告)
・Elementor Website Builder 3.21.5までのバージョン ・Elementor Website Builder 3.21.6
CVE-2024-2117
CVE-2024-2117 Detail
CVSS v3
6.4 (警告)
・Elementor Website Builder 3.20.2までのバージョン ・Elementor Website Builder 3.20.3
CVE-2024-0506
CVE-2024-0506 Detail
CVSS v3
6.4 (警告)
・Elementor Website Builder 3.18.3までのバージョン ・Elementor Website Builder 3.19.0
CVE-2023-48777
CVE-2023-48777 Detail
CVSS v3
8.8 (重要)
・Elementor Website Builder 3.3.0 から3.18.1までのバージョン ・Elementor Website Builder 3.18.2
CVE-2023-47505
JVNDB-2023-026348
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.16.4までのバージョン ・Elementor Website Builder 3.16.5
CVE-2023-47504
CVE-2023-47504 Detail
CVSS v3
6.5 (重要)
・Elementor Website Builder 3.16.4までのバージョン ・Elementor Website Builder 3.16.5
CVE-2023-33922
JVNDB-2023-026490
CVSS v3
4.3 (警告)
・Elementor Website Builder 3.13.2までのバージョン ・Elementor Website Builder 3.13.3
Wordfence CVSS v3
5.4 (警告)
・Elementor Website Builder 3.13.1までのバージョン ・Elementor Website Builder 3.13.2
CVE-2023-0329
JVNDB-2023-026480
CVSS v3
7.2 (重要)
・Elementor Website Builder 3.12.1までのバージョン ・Elementor Website Builder 3.13.0
CVE-2022-29455
JVNDB-2022-011637
CVSS v3
6.1 (警告)
・Elementor Website Builder 3.5.5までのバージョン ・Elementor Website Builder 3.5.6
CVE-2022-4953
JVNDB-2023-027082
CVSS v3
6.1 (警告)
・Elementor Website Builder 3.5.4までのバージョン ・Elementor Website Builder 3.5.5
CVE-2022-1329
JVNDB-2022-009760
CVSS v3
8.8 (重要)
・Elementor Website Builder 3.6.0 から3.6.2までのバージョン ・Elementor Website Builder 3.6.3
CVE-2021-24891
JVNDB-2021-015499
CVSS v3
6.1 (警告)
・Elementor Website Builder 3.4.7までのバージョン ・Elementor Website Builder 3.4.8
CVE-2021-24206
JVNDB-2021-005221
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.1.3までのバージョン ・Elementor Website Builder 3.1.4
CVE-2021-24205
JVNDB-2021-005220
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.1.3までのバージョン ・Elementor Website Builder 3.1.4
CVE-2021-24204
JVNDB-2021-005219
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.1.3までのバージョン ・Elementor Website Builder 3.1.4
CVE-2021-24203
JVNDB-2021-005218
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.1.3までのバージョン ・Elementor Website Builder 3.1.4
CVE-2021-24202
JVNDB-2021-005217
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.1.3までのバージョン ・Elementor Website Builder 3.1.4
CVE-2021-24201
JVNDB-2021-005216
CVSS v3
5.4 (警告)
・Elementor Website Builder 3.1.3までのバージョン ・Elementor Website Builder 3.1.4
CVE-2020-36171
JVNDB-2020-015420
CVSS v3
6.1 (警告)
・Elementor Website Builder 3.0.13までのバージョン ・Elementor Website Builder 3.0.14
CVE-2020-36703
JVNDB-2023-008010
CVSS v3
5.4 (警告)
・Elementor Website Builder 2.9.7までのバージョン ・Elementor Website Builder 2.9.8
CVE-2020-20634
JVNDB-2020-009986
CVSS v3
6.5 (警告)
・Elementor Website Builder 2.9.5までのバージョン ・Elementor Website Builder 2.9.6
CVE-2020-20406
JVNDB-2020-011225
CVSS v3
5.4 (警告)
・Elementor Website Builder 2.9.2までのバージョン ・Elementor Website Builder 2.9.3
CVE-2020-15020
JVNDB-2020-010521
CVSS v3
6.5 (警告)
・Elementor Website Builder 2.9.13までのバージョン ・Elementor Website Builder 2.9.14
CVE-2020-13865
JVNDB-2020-006116
CVSS v3
5.4 (警告)
・Elementor Website Builder 2.9.8までのバージョン ・Elementor Website Builder 2.9.9
CVE-2020-13864
JVNDB-2020-006115
CVSS v3
5.4 (警告)
・Elementor Website Builder 2.9.8までのバージョン ・Elementor Website Builder 2.9.9
CVE-2020-8426
JVNDB-2020-001541
CVSS v3
5.4 (警告)
・Elementor Website Builder 2.8.4までのバージョン ・Elementor Website Builder 2.8.5
CVE-2020-7109
JVNDB-2020-001402
CVSS v3
9.8 (緊急)
・Elementor Website Builder 2.8.3までのバージョン ・Elementor Website Builder 2.8.4
Wordfence CVSS v3
6.4 (警告)
・Elementor Website Builder 2.7.5までのバージョン ・Elementor Website Builder 2.7.6
CVE-2020-7055
JVNDB-2020-004732
CVSS v3
9.9 (緊急)
・Elementor Website Builder 2.7.4までのバージョン ・Elementor Website Builder 2.7.5
CVE-2017-18596
CVE-2017-18596 Detail
CVSS v3
8.8 (重要)
・Elementor Website Builder 1.7.12までのバージョン ・Elementor Website Builder 1.8.0

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。CVEの番号が採番されていない脆弱性情報については、Wordfenceへのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)や独立行政法人情報処理推進機構(以下「IPA」)に準拠していますが、NVD、IPAにてスコアリングされていない場合には、Wordfenceのスコアに準拠しています。
※CVE-2024-6757の影響を受ける範囲については、CVEとNVDでは3.23.5までと掲載されていますが、JVN及びNVDがソースとしているWordfenceでは3.24.5までと記載されており、また、チェンジログでは3.23.5というバージョンは存在しない(ないし消されている)ため、ソースであるWordfenceに合わせてあります。
※CVE-2024-4619の影響を受ける範囲については、JVN及びJVNが準拠しているNVDでは3.21.4までと掲載されていますが、NVDがソースとしているWordfenceでは3.21.5までと記載されています。そのため、ソースであるWordfenceに合わせてあります。
※CVE-2024-2120については、NVDの情報を見る限りElementor Website Builderについての脆弱性に見えますが、ソースのWordfenceを確認したところ、Elementor Website Builder PROについての脆弱性であるようなので、掲載していません。
※CVE-2023-0329については、JVN及びNVDで3.12.2未満と記載されていますが、チェンジログでは3.12.2というバージョンは存在しない(ないし消されている)ため、その次の3.13.0を記載しています。
※脆弱性情報内に稀にElementor Page Builderとして記載されていますが、Elementor Website Builderの旧称であり、同一のプラグインです。
※本記事における脆弱性情報は、Elementor Website Builder無料版に関するもので、Elementor Website Builder有料版(PRO)に関するものは掲載しておりません。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。

Elementor Website Builderのバージョンアップを継続する体制について

前述のように、Elementor Website Builderは人気のあるプラグインであり、日本国内でも利用者は多数いるものと推察されます。

しかしながら、Elementor Website Builder自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Elementor Website BuilderとWordPressはもちろんのこと、PHP、MySQL、MariaDBについても知見を有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Elementor Website Builderを使用したWebサイト制作やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。