WordPress Social Profilr プラグイン <= 1.0 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性は、攻撃者がSocial Profilrプラグインの機能を悪用し、ユーザーの権限を乗っ取ることができる可能性があります。例えば、攻撃者はCSRF攻撃を用いて、ユーザーのプロフィール情報を不正に編集したり、設定を変更したりすることが可能です。さらに、Stored XSS攻撃に発展した場合、攻撃者は悪意のあるスクリプトをユーザーのプロフィールに埋め込み、他の訪問者に影響を与える可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

Websites utilizing the Social Profilr WordPress plugin, particularly those with user accounts and social network integration, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.

• wordpress / plugin:

grep -r 'socialprofilr_display_social_network_profile' /var/www/html/wp-content/plugins/

• wordpress / plugin:

wp plugin list --status=inactive | grep socialprofilr

• wordpress / plugin:

wp plugin list | grep socialprofilr

1. 2025-12-31Disclosure

   disclosure

1. 予約済み2025-06-04
2. 公開日2025-12-31
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずSocial Profilrプラグインを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用してCSRFトークンを実装するなどの対策を講じることが考えられます。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御することも有効です。プラグインのアップデート後、設定が正常に反映されているか、CSRFトークンが正しく機能しているかを確認してください。

アクティブインストール数

40

プラグイン評価

0.0

WordPressが必要

2.5+

動作確認済みバージョン

2.7