WordPress Rencontre プラグイン <= 3.13.7 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性は、攻撃者が認証されたユーザーになりすまして、Rencontreプラグインの機能を悪用することを可能にします。具体的には、攻撃者は悪意のあるリクエストをユーザーのブラウザに仕掛け、ユーザーがRencontreの管理画面で設定を変更したり、データを操作したりする際に、意図しない動作を引き起こす可能性があります。特に、保存型XSS攻撃と組み合わせることで、攻撃者はユーザーのセッションを乗っ取ったり、機密情報を盗み出したりするリスクが高まります。攻撃者は、ユーザーがログインしている状態で、悪意のあるスクリプトをRencontreのデータベースに保存し、他のユーザーがそのページを閲覧した際にスクリプトが実行されるように仕掛けることができます。

WordPress websites utilizing the Rencontre plugin, particularly those with user roles that have administrative privileges, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.

• wordpress / composer / npm:

grep -r 'rencontre/plugin.php' /var/www/html/
wp plugin list | grep rencontre

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/rencontre/plugin.php | grep -i '3.13.7'

1. 2025-12-09Disclosure

   disclosure

1. 予約済み2025-12-09
2. 公開日2025-12-09
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まず、Rencontreプラグインをバージョン3.13.8にアップデートすることを強く推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用して、CSRFトークンを検証するカスタムルールを追加することで、攻撃を軽減できる可能性があります。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。プラグインのアップデートが完了したら、Rencontreの設定を確認し、不必要な機能が無効になっているか確認してください。最後に、アップデート後、Rencontreの管理画面にログインし、設定が正常に動作していることを確認してください。