無料スキャン
MEDIUMCVE-2026-1051CVSS 4.3

Newsletter – WordPressで素晴らしいメールを送信 <= 9.1.0 - ニュースレターの登録解除におけるクロスサイトリクエストフォージェリ

プラットフォーム

wordpress

コンポーネント

newsletter

修正版

9.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2026-1051は、WordPressプラグイン「Newsletter – Send awesome emails from WordPress」におけるCross-Site Request Forgery (CSRF) の脆弱性です。この脆弱性は、nonce検証の不備が原因で発生し、攻撃者はログイン済みのユーザーを騙して、ニュースレタースubscriberを登録解除する可能性があります。影響を受けるバージョンは0.0.0から9.1.0までです。バージョン9.1.1へのアップデートで修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は正規のユーザーに巧妙なリンクをクリックさせ、ニュースレタースubscriberを意図せず登録解除させることが可能です。これにより、ユーザーは重要な情報を受け取れなくなったり、マーケティングキャンペーンの効果が損なわれたりする可能性があります。攻撃者は、フィッシングサイトや悪意のあるメールなどを利用して、ユーザーを誘導する可能性があります。WordPressサイトの管理者は、この脆弱性に対処しない場合、ユーザーエクスペリエンスの低下やビジネスへの影響を招く可能性があります。

悪用の状況

CVE-2026-1051は、2026年1月20日に公開されました。現時点では、公的なProof-of-Concept (PoC) は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。CISA KEVカタログへの登録状況は確認されていません。NVD (National Vulnerability Database) にも登録されています。

リスク対象者翻訳中…

WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/

• wordpress / composer / npm:

wp plugin list | grep newsletter

• wordpress / composer / npm:

wp plugin update newsletter --all

• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントnewsletter
ベンダーwordfence
影響範囲修正版
0 – 9.1.09.1.1

パッケージ情報

アクティブインストール数
200K人気
プラグイン評価
4.6
WordPressが必要
6.1+
動作確認済みバージョン
6.9.4
PHPが必要
7.0+
ホームページ

弱点分類 (CWE)

CWE-352

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

まず、Newsletterプラグインをバージョン9.1.1にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用して、CSRF対策を強化することを検討してください。WAF (Web Application Firewall) を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。また、ユーザーに対して、不審なリンクをクリックしないよう注意喚起することも重要です。アップデート後、プラグインの動作確認を行い、正常に機能していることを確認してください。

修正方法

バージョン9.1.1、またはそれ以降の修正されたバージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-1051 — CSRFはNewsletter WordPressプラグインで何ですか?

CVE-2026-1051は、WordPressのNewsletterプラグインのバージョン0.0.0~9.1.0で発生するCross-Site Request Forgery (CSRF) の脆弱性です。攻撃者は、正規のユーザーを騙して、ニュースレタースubscriberを登録解除できます。

CVE-2026-1051はNewsletter WordPressプラグインで影響を受けますか?

Newsletter WordPressプラグインのバージョン0.0.0から9.1.0を使用している場合は、影響を受けます。バージョン9.1.1にアップデートすることで、この脆弱性を修正できます。

CVE-2026-1051はNewsletter WordPressプラグインをどのように修正しますか?

Newsletter WordPressプラグインをバージョン9.1.1にアップデートしてください。アップデートが難しい場合は、WAFやセキュリティプラグインでCSRF対策を強化することを検討してください。

CVE-2026-1051は積極的に悪用されていますか?

現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。

CVE-2026-1051のNewsletter WordPressプラグインの公式アドバイザリはどこで入手できますか?

Newsletter WordPressプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティアドバイザリで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索