Clearfy <= 2.4.0 - 通知更新の改ざんを伴うクロスサイトリクエストフォージェリ

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を騙し、プラグインのアップデート通知を無効化させることが可能です。これにより、セキュリティアップデートの通知を受け取れなくなり、他の脆弱性に対する防御が遅れる可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者を騙すことが期待されます。この脆弱性は、WordPressサイトのセキュリティを低下させる重大なリスクとなります。

WordPress websites using the Clearfy Cache plugin, particularly those running versions 0.0.0 through 2.4.0, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromised website could potentially be used to target other sites on the same server.

• wordpress / composer / npm:

grep -r 'wbcr_upm_change_flag' /var/www/html/wp-content/plugins/clearfy-cache/

• wordpress / composer / npm:

wp plugin list --status=all | grep clearfy-cache

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/plugins/clearfy-cache/readme.txt | grep Version

1. 2026-01-09Disclosure

   disclosure

1. 予約済み2025-11-26
2. 公開日2026-01-09
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Clearfy Cache WordPressプラグインをバージョン2.4.1以降にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的にプラグインを無効化することを検討してください。WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や不審なリクエストの監視を行うことで、リスクを軽減できます。

アクティブインストール数

50K既知

プラグイン評価

4.7

WordPressが必要

6.0+

動作確認済みバージョン

6.9.4

PHPが必要

7.4+