CVE-2026-1920: データ改ざん in Booktics WordPressプラグイン

この脆弱性は、攻撃者がBookticsプラグインを介してWordPressサイトに不正なアドオンプラグインをインストールすることを可能にします。これにより、攻撃者はサイトの機能に影響を与えたり、悪意のあるコードを実行したり、機密情報を盗み出したりする可能性があります。特に、予約情報や顧客データが保存されている場合、これらの情報が漏洩するリスクがあります。また、不正なアドオンプラグインがインストールされることで、サイト全体のセキュリティが低下し、他の脆弱性への攻撃を容易にする可能性があります。WordPressサイトの管理者は、この脆弱性への対策を早急に行う必要があります。

Websites utilizing the Booktics plugin for appointment scheduling and service businesses are at risk. Specifically, sites running older versions (1.0.0–1.0.16) are vulnerable. Shared hosting environments where plugin updates are managed centrally are particularly susceptible, as they may not have immediate control over plugin versions.

• wordpress / composer / npm:

wp plugin list | grep Booktics

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

wp plugin status Booktics

• wordpress / composer / npm:

wp option get booktics_version

1. 2026-03-10Disclosure

   disclosure

1. 予約済み2026-02-04
2. 公開日2026-03-10
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Bookticsプラグインをバージョン1.0.17にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プラグインのアクセスを一時的に制限するか、ファイアウォールで不正なアクセスを遮断することを検討してください。WordPressのセキュリティプラグインを利用し、不正なファイルアクセスやプラグインのインストールを監視することも有効です。また、WordPressの管理画面へのアクセスを制限し、強力なパスワードを設定することで、攻撃のリスクを軽減できます。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。

アクティブインストール数

600ニッチ

プラグイン評価

4.6

WordPressが必要

5.2+

動作確認済みバージョン

6.9.4

PHPが必要

7.4+