SocialChamp with WordPress <= 1.3.5 - プラグイン設定更新におけるクロスサイトリクエストフォージェリ

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を欺き、Social Champプラグインの設定を不正に変更できます。これにより、ソーシャルメディアへの投稿設定、APIキー、その他の機密情報が攻撃者に制御される可能性があります。最悪の場合、攻撃者はサイトのソーシャルメディアアカウントを乗っ取り、悪意のあるコンテンツを拡散したり、サイトの評判を損なう可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく低下させるリスクがあります。

Websites utilizing the Social Champ plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the update.

• wordpress / composer / npm:

grep -r 'wpsc_settings_tab_menu' /var/www/html/wp-content/plugins/social-champ/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/social-champ/ | grep -i 'wpsc_settings_tab_menu'

1. 2026-01-14Disclosure

   disclosure

1. 予約済み2025-12-17
2. 公開日2026-01-14
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずSocial Champ for WordPressプラグインをバージョン1.3.6にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインのアップデート後、設定が変更されていないことを確認し、セキュリティログを定期的に監視することで、不正なアクセスを早期に発見できます。

アクティブインストール数

40

プラグイン評価

2.6

WordPressが必要

6.2+

動作確認済みバージョン

6.9.4