WordPress Block Country プラグイン <= 1.0 - Stored XSSを可能にするCSRF脆弱性

この脆弱性は、攻撃者が WordPress サイトのユーザーを騙して、悪意のあるアクションを実行させることを可能にします。例えば、攻撃者はユーザーの代わりにコンテンツを投稿したり、設定を変更したり、機密情報を盗み出す可能性があります。攻撃者は、偽のログインフォームやボタンを作成し、ユーザーがクリックしたときに悪意のあるスクリプトが実行されるように仕向けます。この脆弱性の影響範囲は、サイトのユーザー数と、サイト上の機密情報の量によって異なります。攻撃者は、この脆弱性を利用して、サイト全体を乗っ取ったり、ユーザーの個人情報を盗み出したりする可能性があります。

Websites utilizing the Block Country plugin, particularly those with user accounts or forms that accept user input, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised plugin on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'nithinmaurya12 Block Country' /var/www/html/
wp plugin list | grep 'Block Country'

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/block-country/ | grep -i 'x-frame-options'

1. 2025-11-06Disclosure

   disclosure

1. 予約済み2025-05-15
2. 公開日2025-11-06
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Block Country プラグインをバージョン 1.0.1 以降に更新することです。プラグインの更新が困難な場合は、WordPress のセキュリティプラグインを使用して CSRF トークンを実装することで、脆弱性の影響を軽減できます。また、WAF (Web Application Firewall) を導入することで、悪意のあるリクエストをブロックすることができます。アクセスログやエラーログを監視し、不審なアクティビティがないか確認することも重要です。更新後、プラグインの動作を確認し、CSRF 対策が有効になっていることを確認してください。

アクティブインストール数

70

プラグイン評価

3.0

WordPressが必要

3.2+

動作確認済みバージョン

3.6.1