WordPress Table of Contents Creator プラグイン <= 1.6.4.1 - 反射型クロスサイトスクリプティング (XSS) 脆弱性

このXSS脆弱性を悪用されると、攻撃者はユーザーがTable of Contents Creatorを搭載したWordPressサイトを閲覧する際に、悪意のあるJavaScriptコードをWebページに挿入できます。これにより、攻撃者はユーザーのCookieを盗み、機密情報を窃取したり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、ユーザーのブラウザ上で任意の操作を実行したりすることが可能になります。攻撃者は、この脆弱性を利用して、サイトの管理権限を奪取し、Webサイトの内容を改ざんすることも考えられます。この脆弱性は、ユーザーのプライバシー侵害やWebサイトの信頼性低下につながる可能性があります。

Websites using the Table of Contents Creator plugin, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.

• wordpress / composer / npm:

grep -r "<script" /var/www/html/wp-content/plugins/table-of-contents-creator/

• wordpress / composer / npm:

wp plugin list --status=all | grep "table-of-contents-creator"

• wordpress / composer / npm:

wp plugin update table-of-contents-creator

1. 2026-03-19Disclosure

   disclosure

1. 予約済み2025-12-24
2. 公開日2026-03-19
3. 更新日2026-04-28
4. EPSS 更新日2026-03-26

この脆弱性への対応策として、まずTable of Contents Creatorを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合、WordPressのWAF（Web Application Firewall）プラグインを導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、HTMLエンコードなどの適切なエスケープ処理を実装することで、XSS攻撃のリスクを軽減できます。さらに、WordPressのセキュリティプラグインを導入し、定期的にセキュリティスキャンを実行することで、脆弱性を早期に発見し、対応することが重要です。

アクティブインストール数

400ニッチ

プラグイン評価