コメント用ストップワード <= 1.1 - クロスサイトリクエストフォージェリに対する認可の欠如

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者アカウントを騙り、ストップワードの追加や削除といった操作を実行できます。これにより、サイトの検索結果やフィルタリング機能に影響を及ぼし、意図しないコンテンツが表示されたり、特定のコンテンツが隠されたりする可能性があります。さらに、攻撃者はこの脆弱性を利用して、他の管理者の権限を悪用し、サイトの機密情報を盗み出したり、悪意のあるコードを挿入したりする可能性があります。攻撃の成功は、管理者が攻撃者の用意したリンクをクリックするなど、ユーザーの操作に依存します。

WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.

• wordpress / composer / npm:

grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'

1. 2026-01-14Disclosure

   disclosure

1. 予約済み2025-12-30
2. 公開日2026-01-14
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずプラグインを最新バージョンにアップデートすることが最も効果的です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することを推奨します。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインのアップデート後、管理画面でストップワードの設定を確認し、不正な変更がないか検証してください。