プラットフォーム
wordpress
コンポーネント
link-whisper
修正版
0.9.1
0.9.1
Link Whisper Free WordPressプラグインのバージョン0.9.1より前のバージョンには、認証なしで設定を更新できる公開RESTエンドポイントが存在します。この脆弱性は、攻撃者が不正な設定変更を行うことを可能にし、ウェブサイトのセキュリティを脅かす可能性があります。影響を受けるバージョンは0.0.0から0.9.1です。0.9.1へのアップデートで修正されています。
CVE-2026-1900 は、WordPress の Link Whisper Free プラグインにおける重要な脆弱性です。特定の関数における capability チェックの欠如により、認証されていない攻撃者が本来アクセスできない操作を実行できてしまいます。これにより、悪意のある変更、有害な内部リンクの作成、または潜在的なデータ漏洩につながる可能性があります。特に、内部リンク管理と SEO に Link Whisper に依存しているサイトにとって、深刻な問題です。攻撃が成功すると、サイトの完全性とコンテンツの品質が損なわれる可能性があります。この脆弱性は、0.9.1 以前のすべてのプラグインバージョンに影響します。
攻撃者は、脆弱な関数をターゲットにした特定の HTTP リクエストを作成することで、この脆弱性を悪用できます。認証要件がないため、攻撃者は WordPress の認証情報なしにどこからでもこれらのリクエストを送信できます。エクスプロイトの成功は、関数の機能に依存します。参入障壁が低いため、攻撃者は標準の WordPress アクセス制御を回避し、管理者として操作を実行できます。エクスプロイトの難易度は低く、最小限の技術的専門知識やウェブサイトへの事前のアクセスは必要ありません。
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CVSS ベクトル
CVE-2026-1900 の軽減策として推奨されるのは、Link Whisper Free をバージョン 0.9.1 以降にすぐに更新することです。この更新により、不正アクセスを可能にする capability チェックの欠陥が修正されます。潜在的な攻撃からウェブサイトを保護するために、迅速な対応が不可欠です。さらに、WordPress のユーザー権限を確認し、承認されたユーザーのみが管理者アクセスを持っていることを確認してください。ウェブサイトのログを定期的に監視して、疑わしい活動を検出し、対応することも役立ちます。
Update to version 0.9.1, or a newer patched version
脆弱性分析と重要アラートをメールでお届けします。
これは、WordPress の Link Whisper Free プラグインのセキュリティ脆弱性を示す識別子です。
これにより、認証されていない攻撃者が不正な管理者操作を実行できるようになります。
Link Whisper Free をすぐにバージョン 0.9.1 以降に更新してください。
WordPress のユーザー権限を確認し、ウェブサイトのログを監視してください。
NIST NVD などの脆弱性データベースで CVE-2026-1900 の詳細ページを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。