WordPress Evergreen Post Tweeter プラグイン <= 1.8.9 - Stored XSS 脆弱性につながる Cross Site Request Forgery (CSRF)

このXSS脆弱性は、攻撃者がEvergreen Post Tweeterを動作させているWebサイトを完全に制御できる可能性を秘めています。攻撃者は、ユーザーのブラウザ上で悪意のあるJavaScriptコードを実行し、セッションCookieを盗み、ユーザーになりすまして機密情報にアクセスしたり、不正な操作を実行したりする可能性があります。さらに、攻撃者はWebサイトのコンテンツを改ざんし、ユーザーをフィッシングサイトに誘導したり、マルウェアを配布したりすることも可能です。この脆弱性の影響範囲は広範囲に及び、Webサイトの信頼性を大きく損なう可能性があります。

Websites using the Evergreen Post Tweeter plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "evergreen-post-tweeter" /var/www/html/wp-content/plugins/
wp plugin list | grep evergreen-post-tweeter

• generic web:

curl -I https://example.com/ | grep -i 'x-frame-options'

1. 2025-12-24Disclosure

   disclosure

1. 予約済み2025-12-09
2. 公開日2025-12-24
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Evergreen Post Tweeterをバージョン1.8.10以降にアップグレードすることです。アップグレードが直ちに不可能である場合は、CSRFトークンを適切に実装し、入力検証を強化することで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御することも有効です。WAFのルールを適切に設定し、不審なリクエストをブロックするように構成してください。

アクティブインストール数

30ニッチ

プラグイン評価

4.1

WordPressが必要

3.5+

動作確認済みバージョン

3.9.40