プラットフォーム
wordpress
コンポーネント
google-analytics-dashboard-for-wp
修正版
9.0.3
ExactMetrics – Google Analytics Dashboard for WordPressプラグインのバージョン7.1.0から9.0.2には、特権昇格の脆弱性が存在します。この脆弱性は、攻撃者がupdatesettings()関数を通じて、許可リストにない任意のプラグイン設定名を指定できることに起因します。認証された攻撃者は、exactmetricssave_settings権限を持つことで、プラグイン設定を改ざんし、プラグインの機能を制御する可能性があります。バージョン9.0.3でこの問題が修正されています。
この脆弱性を悪用されると、認証された攻撃者は、exactmetricssavesettings権限を持つユーザーとして、プラグインの設定を自由に改ざんできます。これにより、プラグインの機能に対するアクセス権を不正に昇格させ、機密情報へのアクセスや、WordPressサイト全体の制御を奪う可能性があります。特に、設定変更を委任された信頼できるユーザーアカウントを標的にした攻撃が考えられます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は2026年3月10日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合は、速やかに対応する必要があります。
WordPress websites utilizing the ExactMetrics plugin, particularly those with multiple user roles and delegated administrative privileges, are at risk. Shared hosting environments where plugin settings are not tightly controlled are also more vulnerable. Websites relying on ExactMetrics for critical analytics data are especially susceptible to the impact of a successful exploit.
• wordpress / composer / npm:
grep -r 'exactmetrics_save_settings' /var/www/html/wp-content/plugins/exactmetrics/• wordpress / composer / npm:
wp plugin list --status=active | grep exactmetrics• wordpress / composer / npm:
wp plugin update exactmetrics --alldisclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、プラグインをバージョン9.0.3以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、exactmetricssavesettings権限を持つユーザーアカウントの作成を制限し、プラグインの設定変更を厳格に管理してください。また、WAF(Web Application Firewall)を導入し、不正な設定変更リクエストをブロックすることも有効です。WordPressのセキュリティプラグインを活用し、不審なアクティビティを監視することも推奨されます。
バージョン 9.0.3 以上、または新しい修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-1993は、ExactMetrics WordPressプラグインのバージョン7.1.0~9.0.2における、認証された攻撃者がプラグイン設定を改ざんできる脆弱性です。
ExactMetricsプラグインのバージョン7.1.0から9.0.2を使用している場合は、影響を受ける可能性があります。速やかにアップデートまたは適切な緩和策を講じる必要があります。
プラグインをバージョン9.0.3以降にアップデートしてください。アップデートが困難な場合は、設定変更を制限するなどの緩和策を講じてください。
現時点では、公的なPoCは確認されていませんが、悪用される可能性は否定できません。
ExactMetricsの公式アドバイザリは、プラグインのアップデート情報やセキュリティに関する詳細が記載されているはずです。プラグインのウェブサイトまたはWordPressのプラグインディレクトリで確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。