Sosh Share Buttons <= 1.1.0 - クロスサイトリクエストフォージェリ (Cross-Site Request Forgery)

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を欺き、Sosh Share Buttonsプラグインの設定を不正に変更できます。例えば、攻撃者は悪意のあるURLをクリックさせることで、プラグインのAPIキーを置き換えたり、不正なリダイレクト先を設定したりすることが可能です。これにより、サイトのセキュリティが損なわれ、悪意のあるコンテンツが配信される可能性があります。攻撃者は、サイトの他の機能へのアクセスを試み、さらなる攻撃を仕掛ける可能性もあります。

WordPress websites using the Sosh Share Buttons plugin, particularly those with shared hosting environments or where administrators are susceptible to phishing attacks, are at risk. Sites with outdated plugin versions are especially vulnerable.

• wordpress / composer / npm:

grep -r 'admin_page_content' /var/www/html/wp-content/plugins/sosh-share-buttons/

• wordpress / composer / npm:

wp plugin list | grep 'sosh-share-buttons'

• wordpress / composer / npm:

wp plugin update sosh-share-buttons --all

1. 2026-01-14Disclosure

   disclosure

1. 予約済み2025-12-30
2. 公開日2026-01-14
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずSosh Share Buttonsプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインの設定変更時には、常に正規の管理画面を使用し、不審なURLはクリックしないように注意してください。