CVE-2023-52212: CSRF in WP Job Manager

このCSRF脆弱性は、攻撃者が認証されたユーザーとして行動し、WP Job Managerの管理画面で設定を変更したり、求人情報を不正に作成・編集・削除したりする可能性があります。攻撃者は、悪意のあるウェブサイトやメールを通じて、ユーザーがWP Job Managerの機能を使用する際に、バックグラウンドで不正なリクエストを送信できます。これにより、データの改ざん、不正な求人情報の掲載、または管理者の権限の悪用につながる可能性があります。特に、管理者の権限を持つユーザーが標的にされると、システム全体への影響が拡大する可能性があります。

Websites using the WP Job Manager plugin, particularly those with user accounts and job posting functionality, are at risk. Shared hosting environments where plugin updates are managed centrally are especially vulnerable if they haven't applied the update. Sites with legacy WordPress installations or those that haven't implemented robust security practices are also at increased risk.

• wordpress / composer / npm:

grep -r 'wp_job_manager' /var/www/html/wp-content/plugins/
wp plugin list | grep wp-job-manager

• generic web:

curl -I https://example.com/wp-admin/admin-ajax.php?action=wp_job_manager_some_action&nonce=malicious_nonce

1. 2026-01-05Disclosure

   disclosure

1. 予約済み2023-12-29
2. 公開日2026-01-05
3. EPSS 更新日2026-03-23

WP Job Managerのバージョンを2.0.1にアップデートすることが最も効果的な対策です。アップデートできない場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを検証するカスタムルールを追加することを検討してください。また、ユーザーに対して、信頼できないウェブサイトへのアクセスや、不審なメールへのリンクのクリックを避けるよう注意喚起することも重要です。WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。