WordPress Wordpress Movies Bulk Importer プラグイン <= 1.0 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性を悪用されると、攻撃者は認証済みユーザーの権限を乗っ取り、不正な操作を実行する可能性があります。例えば、データベースへの不正なデータの追加、設定の変更、またはユーザーアカウントの削除などが考えられます。攻撃者は、悪意のあるウェブサイトやメールを通じて、ユーザーを騙して脆弱なMovies Bulk Importerをインストールしたサイトにアクセスさせ、リクエストを送信することで脆弱性を悪用します。この脆弱性は、WordPressサイトのセキュリティ全体に影響を及ぼす可能性があります。

Websites utilizing the AA-Team Wordpress Movies Bulk Importer plugin, particularly those with a large user base or that handle sensitive movie data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'AA-Team Movies Bulk Importer' /var/www/html/
wp plugin list | grep 'Movies Bulk Importer'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=movies_bulk_importer_action&param=malicious_param | grep -i 'csrf token'

1. 2026-01-22Disclosure

   disclosure

1. 予約済み2026-01-07
2. 公開日2026-01-22
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずAA-Team Movies Bulk Importerを最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合、WordPressのセキュリティプラグインを使用してCSRFトークンを実装するか、ウェブアプリケーションファイアウォール（WAF）を使用して悪意のあるリクエストをブロックすることを検討してください。また、ユーザーに対して、不審なリンクやウェブサイトへのアクセスを避けるよう注意喚起することも重要です。アップデート後、Movies Bulk Importerの動作を検証し、CSRF攻撃に対する保護が有効になっていることを確認してください。