プラットフォーム
wordpress
コンポーネント
church-admin
修正版
5.0.29
Church Admin WordPressプラグインのバージョン0.0.0から5.0.28までにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されています。この脆弱性は、'audio_url'パラメータのURL検証が不十分なために発生し、認証された攻撃者がウェブアプリケーションを装って任意の場所にリクエストを送信することを可能にします。影響を受けるバージョンは0.0.0から5.0.28です。バージョン5.0.29でこの問題が修正されました。
このSSRF脆弱性を悪用されると、攻撃者はChurch Adminプラグインを介して内部ネットワーク上のリソースにアクセスしたり、機密情報を取得したりする可能性があります。例えば、内部APIを呼び出して認証情報を取得したり、内部データベースをクエリしたりすることが考えられます。攻撃者は、この脆弱性を利用して、他の内部システムへの攻撃の足がかりとして利用する可能性もあります。この脆弱性は、WordPressサイトのセキュリティを脅かす重大なリスクとなります。
この脆弱性は、2026年1月17日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は悪用が容易であり、今後積極的に悪用される可能性があります。CISA KEVへの登録状況は確認されていません。NVD(National Vulnerability Database)も同様に、まだ情報がありません。
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
CVSS ベクトル
Church Adminプラグインをバージョン5.0.29以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することを推奨します。また、WordPressの設定で、プラグインがアクセスできる外部URLを制限するなどの対策も有効です。プラグインのアップデート後、正常に動作することを確認してください。
バージョン 5.0.29、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-0682は、Church Admin WordPressプラグインのバージョン0.0.0~5.0.28において、'audio_url'パラメータの不適切なURL検証により発生するサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。
Church Admin WordPressプラグインのバージョン0.0.0から5.0.28を使用している場合は、影響を受ける可能性があります。攻撃者はこの脆弱性を悪用して、内部ネットワーク上のリソースにアクセスしたり、機密情報を取得したりする可能性があります。
Church Admin WordPressプラグインをバージョン5.0.29以降にアップデートしてください。アップデートが困難な場合は、WAFを導入するなど、他の対策を検討してください。
現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は悪用が容易であり、今後積極的に悪用される可能性があります。
Church Admin WordPressプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。