プラットフォーム
wordpress
コンポーネント
last-email-address-validator
修正版
1.7.2
LEAV Last Email Address Validatorプラグインのバージョン0.0.0から1.7.1までのWordPressプラグインに、クロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在します。この脆弱性は、nonce検証の不備が原因で発生し、攻撃者は正規のユーザーを装ってプラグインの設定を不正に変更する可能性があります。2026年1月16日に公開されたこの脆弱性に対処するため、速やかにプラグインのアップデートを適用してください。
このXSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者権限を持つユーザーを騙し、LEAV Last Email Address Validatorプラグインの設定を不正に変更できます。これにより、メールアドレスの検証設定が変更されたり、悪意のあるスクリプトが挿入されたりする可能性があります。攻撃者は、管理者ユーザーがクリックするリンクを作成し、そのリンクをクリックさせることで、不正な設定変更を実行できます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年1月16日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずLEAV Last Email Address Validatorプラグインを最新バージョンにアップデートすることが最も重要です。アップデートが困難な場合は、Web Application Firewall (WAF) を導入し、XSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインのアップデート後、設定が正常に適用されているか確認し、セキュリティログを監視して不正なアクセスがないか確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-14853は、LEAV Last Email Address Validatorプラグインのバージョン0.0.0~1.7.1において、nonce検証の不備により発生するクロスサイトリクエストフォージェリ(XSRF)の脆弱性です。
LEAV Last Email Address Validatorプラグインのバージョン0.0.0から1.7.1を使用しているWordPressサイトは、この脆弱性の影響を受けます。
LEAV Last Email Address Validatorプラグインを最新バージョンにアップデートすることで、この脆弱性を修正できます。
現時点では、CVE-2025-14853を悪用した具体的な攻撃事例は報告されていませんが、悪用される可能性は否定できません。
プラグイン開発者のウェブサイトまたはWordPressプラグインディレクトリで、最新のアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。