DASHBOARD BUILDER <= 1.5.7 - クロスサイトリクエストフォージェリによるSQLインジェクション

このSQLインジェクション脆弱性を悪用されると、攻撃者はデータベース内の機密情報（ユーザー名、パスワード、個人情報など）を窃取したり、改ざんしたりする可能性があります。さらに、データベースの構造を操作することで、Webサイトの機能を停止させたり、悪意のあるコードを実行したりすることも考えられます。この脆弱性は、WordPressサイトの管理者が悪意のあるリンクをクリックさせられることで悪用される可能性があり、サイト全体のセキュリティに深刻な影響を及ぼす可能性があります。

WordPress websites utilizing the DASHBOARD BUILDER plugin, particularly those with shared hosting environments, are at risk. Sites with weak administrator password policies or those that haven't implemented proper access controls are especially vulnerable. Legacy WordPress installations running older versions of PHP may also be more susceptible due to potential differences in SQL query parsing.

• wordpress / composer / npm:

grep -r "dashboardbuilder-admin.php" /var/www/html/

• wordpress / composer / npm:

wp plugin list | grep DASHBOARD BUILDER

• wordpress / composer / npm:

wp plugin update --all

• generic web: Check for unusual database activity in WordPress error logs, specifically related to SQL queries originating from the DASHBOARD BUILDER plugin.

1. 2026-01-14Disclosure

   disclosure

1. 予約済み2025-12-12
2. 公開日2026-01-14
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずDASHBOARD BUILDERプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを導入し、不正なリクエストを監視することも有効です。データベースのアクセス権限を最小限に抑え、不要なユーザーアカウントを削除することも重要です。アップデート後、プラグインの設定を確認し、SQLクエリが正常に動作していることを確認してください。