CVE-2026-1673: CSRF in BEAR WooCommerce Plugin

このCSRF脆弱性は、攻撃者が正規のユーザー（通常は管理者またはショップマネージャー）になりすますことを可能にします。攻撃者は、巧妙に作成された悪意のあるリンクをクリックさせることで、ターゲットのユーザーアカウントを悪用し、WooCommerceのタクソノミタームを削除できます。これにより、サイトの構造が破壊され、製品の分類が混乱し、顧客体験が損なわれる可能性があります。さらに、タクソノミタームの削除は、サイトの機能に影響を与え、ビジネスプロセスを妨げる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく低下させる可能性があります。

WordPress sites utilizing the BEAR – Bulk Editor and Products Manager Professional for WooCommerce plugin, particularly those with multiple administrators or shop managers, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected, as a compromised site could potentially be used to target other sites on the same server.

• wordpress / composer / npm:

grep -r 'woobe_delete_tax_term' /var/www/html/wp-content/plugins/bear-bulk-editor/

• wordpress / composer / npm:

wp plugin list | grep bear-bulk-editor

• wordpress / composer / npm:

wp plugin update bear-bulk-editor

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-01-30
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

この脆弱性への対応策として、まずプラグインをバージョン1.1.6に更新することを強く推奨します。更新が一時的にサイトの動作に影響を与える可能性がある場合は、バックアップを作成してから更新を実行してください。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。さらに、WordPressのセキュリティプラグインを使用して、nonce検証を強化することも検討できます。プラグインの更新後、WooCommerceのタクソノミタームが正常に機能していることを確認し、不正な変更がないか定期的に監査を実施してください。

アクティブインストール数

40K既知

プラグイン評価

4.7

WordPressが必要

6.0+

動作確認済みバージョン

7.0

PHPが必要

7.4+