プラットフォーム
wordpress
コンポーネント
woo-product-pricing-tables
修正版
1.1.1
1.1.1
CVE-2026-1852は、WordPressプラグインProduct Pricing Table by WooBeWooにおけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性は、nonce検証の不備が原因で発生し、攻撃者が正規のユーザーになりすまして悪意のある操作を実行することを可能にします。影響を受けるバージョンは1.1.0以前ですが、バージョン1.1.1で修正されています。
このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者を騙して、悪意のあるスクリプトを注入したり、価格表を削除したりすることが可能になります。これにより、サイトの表示が改ざんされたり、価格情報が不正に操作されたりする可能性があります。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者権限を悪用し、サイト全体を制御する可能性があります。特に、管理者が頻繁にプラグインの設定を変更するような環境では、攻撃のリスクが高まります。
この脆弱性は、2026年4月14日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後積極的に悪用される可能性があります。CISA KEVへの登録状況は確認されていません。NVD(National Vulnerability Database)にも登録されており、詳細な情報が公開されています。
WordPress sites utilizing the Product Pricing Table by WooBeWoo plugin, particularly those with administrative users who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server infrastructure may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'updateLabel(' /var/www/html/wp-content/plugins/product-pricing-table-by-woobewoo/• wordpress / composer / npm:
grep -r 'remove(' /var/www/html/wp-content/plugins/product-pricing-table-by-woobewoo/• wordpress / composer / npm:
wp plugin list --status=active | grep product-pricing-table-by-woobewoodisclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずProduct Pricing Table by WooBeWooプラグインをバージョン1.1.1にアップデートすることを推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRF対策を強化することを検討してください。また、管理者の操作には常に注意し、不審なリンクはクリックしないようにしてください。WAF(Web Application Firewall)を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。
バージョン1.1.1、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-1852は、WooBeWooのProduct Pricing Tableプラグインのバージョン1.1.0以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。nonce検証の不備により、攻撃者が正規のユーザーになりすまして悪意のある操作を実行できます。
Product Pricing Table by WooBeWooプラグインのバージョン1.1.0以前を使用している場合は、影響を受ける可能性があります。攻撃者は、悪意のあるスクリプトを注入したり、価格表を削除したりする可能性があります。
Product Pricing Table by WooBeWooプラグインをバージョン1.1.1にアップデートしてください。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRF対策を強化することを検討してください。
現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後積極的に悪用される可能性があります。
WooBeWooの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。