BEAR – Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net <= 1.1.5 - 製品データ変更のためのクロスサイトリクエストフォージェリ (Cross-Site Request Forgery)

このCSRF脆弱性は、攻撃者がWordPressサイトの管理者やマネージャーを騙し、悪意のあるリクエストを実行させることで、製品データを改ざんすることを可能にします。攻撃者は、製品の価格を大幅に引き上げたり、虚偽の情報を記載したり、在庫数を変更したりする可能性があります。これにより、顧客の信頼を失墜させ、ビジネスに深刻な損害を与える可能性があります。また、攻撃者は、この脆弱性を利用して、他の管理機能にアクセスし、さらなる不正行為を行う可能性も否定できません。類似のCSRF脆弱性は、Webアプリケーションにおいて頻繁に報告されており、適切な入力検証とnonceの使用が不可欠です。

WordPress websites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable if one site is running an outdated version of the plugin.

• wordpress / composer / npm:

wp plugin list | grep Pluginus.Net

• wordpress / composer / npm:

wp plugin update BEAR --all

• wordpress / composer / npm:

grep -r 'woobe_redraw_table_row()' /var/www/html/wp-content/plugins/bear-bulk-editor/

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-01-30
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

この脆弱性への最も効果的な対策は、BEAR – Bulk Editor and Products Manager Professional for WooCommerceプラグインをバージョン1.1.6にアップグレードすることです。アップグレードが一時的にサイトの動作に影響を与える可能性がある場合は、バックアップを作成してからアップグレードを実行してください。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。WordPressのセキュリティプラグインを利用して、nonce検証を強化することも推奨されます。プラグインのアップデートを定期的に確認し、最新のセキュリティパッチを適用することが重要です。

アクティブインストール数

40K既知

プラグイン評価

4.7

WordPressが必要

6.0+

動作確認済みバージョン

7.0

PHPが必要

7.4+