User Registration & Membership <= 4.4.8 - 任意の投稿削除へのクロスサイトリクエストフォージェリ

このCSRF脆弱性を悪用されると、攻撃者はサイト管理者や権限を持つユーザーを騙し、不正なリクエストを送信することができます。例えば、攻撃者は管理者アカウントを削除したり、重要な投稿を削除したり、設定を変更したりすることが可能になります。特に、プラグインの管理画面にアクセスできるユーザーが標的となる可能性が高く、サイト全体のセキュリティが脅かされる可能性があります。この脆弱性は、WordPressサイトの機密情報漏洩やサービス停止につながる可能性があります。

WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.

• wordpress / composer / npm:

grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'user-registration-membership'

• wordpress / composer / npm:

wp plugin update user-registration-membership

1. 2026-01-10Disclosure

   disclosure

1. 予約済み2025-12-19
2. 公開日2026-01-10
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、プラグインをバージョン4.4.9以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することを推奨します。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。さらに、サイト管理者のパスワードを強化し、二段階認証を有効にすることで、攻撃者による不正アクセスを防止できます。

アクティブインストール数

60K既知

プラグイン評価

4.8

WordPressが必要

5.5+

動作確認済みバージョン

7.0

PHPが必要

7.4+