WordPress PDF Creator Lite プラグイン <= 1.2 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性は、攻撃者がPDF Creator Liteを使用しているWordPressサイトのユーザーを標的にします。攻撃者は、ユーザーがログインしている状態で悪意のあるリクエストを送信することで、ユーザーの権限を悪用し、不正なPDFファイルを生成したり、設定を変更したりする可能性があります。Stored XSS攻撃に発展した場合、攻撃者はユーザーのブラウザに悪意のあるスクリプトを注入し、Cookieの窃取や、他のサイトへのリダイレクトなど、より深刻な被害をもたらす可能性があります。この脆弱性は、WordPressサイトのセキュリティ全体に影響を及ぼす可能性があります。

WordPress websites utilizing the PDF Creator Lite plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the necessary updates. Sites with user-generated content processed by the plugin are especially susceptible.

• wordpress / composer / npm:

grep -r "PDF Creator Lite" /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list | grep "PDF Creator Lite"

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-creator-lite/ | grep -i 'X-Frame-Options'

1. 2025-12-09Disclosure

   disclosure

1. 予約済み2025-06-04
2. 公開日2025-12-09
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、PDF Creator Liteを最新バージョンにアップデートすることが推奨されます。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装することで、ある程度の保護を施すことができます。また、WAF（Web Application Firewall）を導入し、悪意のあるリクエストを検知・ブロックすることも有効です。WordPressのプラグインディレクトリで、PDF Creator Liteのセキュリティアップデートを定期的に確認してください。

アクティブインストール数

40

プラグイン評価

3.5

WordPressが必要

3.0.1+

動作確認済みバージョン

4.3.34