WordPress Recent Posts From Each Category プラグイン <= 1.4 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性は、攻撃者が認証されたユーザーになりすまして、不正なリクエストを送信することを可能にします。Stored XSSと組み合わせることで、攻撃者は悪意のあるスクリプトをWebサイトに保存し、他のユーザーがページを閲覧した際に実行させることができます。これにより、ユーザーのセッション情報が盗まれたり、Webサイトのコンテンツが改ざんされたり、悪意のあるリダイレクトが発生する可能性があります。攻撃者は、ユーザーがログインしている間に、そのユーザーの権限を利用して、データベースを操作したり、他の管理機能にアクセスしたりする可能性があります。

Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/

• generic web:

curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'

• wordpress / composer / npm:

wp plugin list --status=inactive | grep recent-posts-from-each-category

1. 2025-12-31Disclosure

   disclosure

1. 予約済み2025-06-04
2. 公開日2025-12-31
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずプラグインを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、CSRF攻撃をブロックすることを検討してください。また、WordPressのセキュリティプラグインを使用して、CSRF対策を強化することも有効です。プラグインの設定を見直し、不必要な機能や権限を制限することで、攻撃対象領域を減らすことができます。アップデート後、プラグインの動作を確認し、CSRF対策が有効になっていることを確認してください。

アクティブインストール数

50

プラグイン評価

3.7

WordPressが必要

3.0+

動作確認済みバージョン

4.0.38