CVE-2025-14999: CSRF in Latest Tabs WordPress Plugin

このCSRF脆弱性を悪用されると、攻撃者は正規のユーザー（特に管理者）を騙し、プラグインの設定を不正に変更できます。これにより、悪意のある設定が適用され、サイトの動作に影響が出たり、機密情報が漏洩したりする可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者権限を悪用し、サイト全体を制御する可能性があります。この種の攻撃は、他のWordPressプラグインの脆弱性と同様に、サイトのセキュリティを脅かす重大なリスクとなります。

WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.

• wordpress / composer / npm:

grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'latest-tabs'

• wordpress / composer / npm:

wp plugin update latest-tabs --all

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-12-20
2. 公開日2026-01-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

最新バージョン1.6へのアップデートが最も効果的な対策です。もしアップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRFトークン検証を強化するルールを設定することで、攻撃を軽減できます。また、WordPressのセキュリティプラグインを利用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインの設定変更を行う際には、常に注意を払い、信頼できるソースからのリクエストのみを受け入れるように設定を見直してください。