WordPressのCareer Sectionプラグインは、Cross-Site Request Forgery (CSRF) の脆弱性を抱えており、Path Traversalと任意のファイル削除につながる可能性があります。これは、バージョン1.6およびそれ以前のすべてのバージョンに影響します。原因は、'appform_options_page_html'関数におけるdeleteアクションのnonce検証の欠如と、不十分なファイルパス検証です。これにより、認証されていない攻撃者が、偽装されたリクエストを介してサーバー上の任意のファイルを削除できる可能性があります。サイト管理者に行動を実行させる（例えば、リンクをクリックさせる）ことができれば。

この脆弱性を悪用されると、認証されていない攻撃者は、サイト管理者とユーザーを騙し、悪意のあるリクエストを実行させることができます。成功した場合、攻撃者はサーバー上の重要なファイルを削除し、ウェブサイトの機能に重大な影響を与える可能性があります。特に、データベース設定ファイルやシステム設定ファイルを削除されると、ウェブサイト全体の停止や情報漏洩につながる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクを伴います。

Websites utilizing the Career Section plugin, particularly those with WordPress administrators who are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a successful exploit on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'appform_options_page_html' /var/www/html/wp-content/plugins/career-section/

• wordpress / composer / npm:

wp plugin list | grep 'career-section'

• wordpress / composer / npm:

wp plugin update career-section --version=1.7

• generic web: Check WordPress plugin directory for outdated versions of Career Section.

1. 2026-04-16Disclosure

   disclosure

1. 予約済み2025-12-18
2. 公開日2026-04-16
3. 更新日2026-04-22
4. EPSS 更新日2026-04-23

まず、Career Sectionプラグインをバージョン1.7にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、WAF（Web Application Firewall）を使用して、CSRF攻撃をブロックするルールを実装することを検討してください。また、WordPressのセキュリティプラグインを導入し、nonce検証を強化することも有効です。さらに、サイト管理者は、不審なリンクをクリックしないように注意し、二段階認証を有効にすることで、攻撃のリスクを軽減できます。アップデート後、プラグインのファイルアクセス権限を確認し、不要なファイルへのアクセスを制限してください。

アクティブインストール数

0

プラグイン評価