プラットフォーム
wordpress
コンポーネント
wp-change-status-notifier
修正版
1.0.1
WP Status Notifierプラグインは、WordPressサイトのステータス通知を管理する機能を提供します。しかし、バージョン1.0.0から1.0までのバージョンでは、クロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在し、攻撃者が正規のユーザーとして不正な操作を実行する可能性があります。この脆弱性は、nonce検証の不備が原因です。最新バージョンへのアップデートにより、この問題は解決されています。
このXSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を騙し、プラグインの設定を不正に変更することができます。これにより、サイトの動作に影響を与えたり、悪意のあるコードを挿入したりする可能性があります。例えば、攻撃者は通知設定を変更して、機密情報を漏洩させたり、サイトの表示を改ざんしたりする可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者権限を悪用し、サイト全体を制御するリスクがあります。
この脆弱性は、2026年1月7日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、XSRF攻撃は比較的容易に実行可能なため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。WordPressのセキュリティコミュニティは、この脆弱性に対する注意喚起を行っています。
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
エクスプロイト状況
EPSS
0.02% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずWP Status Notifierプラグインを最新バージョンにアップデートすることが最も効果的です。アップデートが困難な場合は、WordPressのWAF(Web Application Firewall)プラグインを導入し、XSRF攻撃を検知・防御するルールを設定してください。また、管理者アカウントへのアクセスを制限し、二段階認証を有効にすることで、攻撃のリスクを軽減できます。プラグインのアップデート後、設定が適切に反映されているか確認し、不正な変更がないか確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-13521は、WordPressのWP Status Notifierプラグインバージョン1.0.0~1.0におけるクロスサイトリクエストフォージェリ(XSRF)の脆弱性です。nonce検証の不備により、攻撃者が正規のユーザーとして不正な操作を実行できます。
はい、WP Status Notifierプラグインのバージョン1.0.0から1.0までのユーザーは、このXSRF脆弱性の影響を受けます。最新バージョンへのアップデートが必要です。
WP Status Notifierプラグインを最新バージョンにアップデートすることで、この脆弱性は修正されます。アップデートが困難な場合は、WAFプラグインの導入や管理者アカウントへのアクセス制限などの対策を検討してください。
現時点では、公的なPoCは確認されていませんが、XSRF攻撃は比較的容易に実行可能なため、悪用される可能性は否定できません。
WP Status Notifierプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティ情報ページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。