CVE-2026-1032: CSRF in Conditional Menus WordPress Plugin

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を欺き、条件付きメニューの設定を不正に変更できます。これにより、サイトのナビゲーションが改ざんされ、ユーザーを悪意のあるページにリダイレクトしたり、不正なコンテンツを表示したりする可能性があります。攻撃者は、巧妙に作成されたリンクをクリックさせることで、管理者の権限を悪用し、サイトのセキュリティを侵害する可能性があります。この脆弱性は、特に管理者が頻繁にサイトにログインし、条件付きメニューの設定を変更する環境において、深刻な影響を与える可能性があります。

WordPress sites utilizing the Conditional Menus plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised and used to launch attacks against others.

• wordpress / composer / npm:

grep -r 'save_options' /var/www/html/wp-content/plugins/conditional-menus/

• generic web:

curl -I https://example.com/wp-admin/admin-ajax.php?action=conditional_menus_save_options&... # Check for missing nonce

1. 2026-03-26Disclosure

   disclosure

1. 予約済み2026-01-16
2. 公開日2026-03-26
3. 更新日2026-04-08
4. EPSS 更新日2026-04-03

この脆弱性への対応として、まずConditional Menusプラグインをバージョン1.2.7にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することを検討してください。また、サイト管理者に注意喚起を行い、不審なリンクをクリックしないように指導することも重要です。WordPressのセキュリティプラグインを活用し、CSRF攻撃の兆候を監視することも有効です。

アクティブインストール数

60K既知

プラグイン評価

4.4

WordPressが必要

4.0+

動作確認済みバージョン

6.9.4