WordPressのThumbnail Slider With Lightboxプラグインはバージョン1.0において、Cross-Site Request Forgery (CSRF)の脆弱性を抱えています。これは、addedit機能におけるnonce検証の欠如または不備が原因です。

このXSRF脆弱性を悪用されると、攻撃者はサイト管理者の権限を悪用し、任意のファイルをサーバーにアップロードできます。これにより、悪意のあるスクリプトの実行、マルウェアの拡散、機密情報の窃取など、深刻な被害が発生する可能性があります。攻撃者は、巧妙なフィッシング攻撃やソーシャルエンジニアリングの手法を用いて、管理者を騙し、脆弱性を突く可能性があります。この脆弱性は、サイトの完全な制御を奪われるリスクを伴うため、早急な対応が不可欠です。

WordPress websites using the Thumbnail Slider With Lightbox plugin version 1.0 are at risk. Sites with administrative accounts that are frequently used or susceptible to phishing attacks are particularly vulnerable. Shared hosting environments where plugin updates are not managed by the user are also at increased risk.

• wordpress / composer / npm:

grep -r 'addedit' /var/www/html/wp-content/plugins/thumbnail-slider-with-lightbox/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=addedit&new_filename=malicious.php | grep -i '200 OK'

1. 2023-10-27Disclosure

   disclosure

1. 予約済み2023-10-26
2. 公開日2023-10-27
3. 更新日2025-02-05
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずプラグインを最新バージョンにアップデートすることが推奨されます。アップデートが利用できない場合は、WAF（Web Application Firewall）を導入し、XSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを利用して、nonce検証を強化することも有効です。さらに、管理者のパスワードを複雑なものに変更し、二段階認証を有効にすることで、攻撃者による不正アクセスを防止できます。アップデート後、プラグインの動作確認を行い、XSRF攻撃に対する防御が機能していることを確認してください。

アクティブインストール数

700ニッチ

プラグイン評価

3.8

WordPressが必要

3.5+

動作確認済みバージョン

6.9.4