EMC Scheduling Manager <= 4.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via calendly Shortcode

WordPressのプラグインEMC – Easily Embed Calendly Scheduling Featuresは、Stored Cross-Site Scripting (XSS) の脆弱性を抱えています。この脆弱性は、Calendlyショートコード内のユーザーが提供する属性の処理方法に起因し、バージョン4.4までを対象としています。不適切な入力検証と出力エスケープにより、認証された攻撃者（コントリビューターレベル以上のアクセス権を持つ）が、ページに任意のWebスクリプトを挿入できるようになります。挿入されたページにユーザーがアクセスすると、悪意のあるスクリプトが実行され、機密情報の窃取、ページ内容の改ざん、またはユーザーアカウントの乗っ取りにつながる可能性があります。

1. 予約済み2026-01-12
2. 公開日2026-04-19
3. 更新日2026-04-22
4. EPSS 更新日2026-04-26

最も効果的な対策は、EMC – Easily Embed Calendly Scheduling Featuresプラグインを最新バージョン（4.4より大きい）に更新することです。プラグインの開発者は、この脆弱性を修正するために、適切な入力検証と出力エスケープを実装するアップデートをリリースしました。さらに、Calendlyショートコードを使用しているWordPressページを調べて、挿入された悪意のあるコードを特定して削除することをお勧めします。最小権限の原則を実装し、ユーザーが必要な権限のみを持つようにすることで、リスクを軽減できます。WordPressとすべてのプラグインを定期的に更新することも、基本的なセキュリティプラクティスです。

アクティブインストール数

10Kニッチ

プラグイン評価