Newsletter – WordPressで素晴らしいメールを送信 <= 9.1.0 - ニュースレターの登録解除におけるクロスサイトリクエストフォージェリ

この脆弱性を悪用されると、攻撃者は正規のユーザーに巧妙なリンクをクリックさせ、ニュースレタースubscriberを意図せず登録解除させることが可能です。これにより、ユーザーは重要な情報を受け取れなくなったり、マーケティングキャンペーンの効果が損なわれたりする可能性があります。攻撃者は、フィッシングサイトや悪意のあるメールなどを利用して、ユーザーを誘導する可能性があります。WordPressサイトの管理者は、この脆弱性に対処しない場合、ユーザーエクスペリエンスの低下やビジネスへの影響を招く可能性があります。

WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.

• wordpress / composer / npm:

grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/

• wordpress / composer / npm:

wp plugin list | grep newsletter

• wordpress / composer / npm:

wp plugin update newsletter --all

• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.

1. 2026-01-20Disclosure

   disclosure

1. 予約済み2026-01-16
2. 公開日2026-01-20
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Newsletterプラグインをバージョン9.1.1にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用して、CSRF対策を強化することを検討してください。WAF (Web Application Firewall) を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。また、ユーザーに対して、不審なリンクをクリックしないよう注意喚起することも重要です。アップデート後、プラグインの動作確認を行い、正常に機能していることを確認してください。

アクティブインストール数

200K人気

プラグイン評価

4.6

WordPressが必要

6.1+

動作確認済みバージョン

6.9.4

PHPが必要

7.0+