CVE-2025-14465: XSRF in Sticky Action Buttons WordPress Plugin

このXSRF脆弱性を悪用すると、攻撃者は正規の管理者ユーザーを装うことで、プラグインの設定を不正に変更できます。これにより、サイトの表示内容の改ざん、悪意のあるリダイレクトの設定、さらにはサイト全体の乗っ取りといった深刻な被害が発生する可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者ユーザーを騙すことが可能です。WordPressサイトのセキュリティを脅かす重大なリスクとなります。

WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep sticky-action-buttons

• wordpress / composer / npm:

wp plugin list | grep sticky-action-buttons

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-12-10
2. 公開日2026-01-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずSticky Action Buttonsプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、一時的にプラグインを無効化するか、WordPressのセキュリティプラグインを利用してXSRF攻撃を防御できます。WAF（Web Application Firewall）を導入し、XSRF攻撃のパターンを検知・遮断するルールを設定することも有効です。また、管理者ユーザーのアクセス権限を最小限に抑え、不審なリンクのクリックを避けるよう注意喚起することも重要です。