プラットフォーム
wordpress
コンポーネント
add-polylang-support-for-customizer
修正版
1.4.6
CVE-2026-22462は、WordPressプラグインAdd Polylang support for Customizerにおけるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。この脆弱性は、攻撃者が認証済みユーザーを騙して不正な操作を実行することを可能にします。影響を受けるバージョンは0から1.4.5までで、最新バージョンへのアップデートによって修正されています。
このCSRF脆弱性を悪用されると、攻撃者は認証済みユーザーとして任意の操作を実行できる可能性があります。例えば、設定の変更、コンテンツの削除、または他の管理機能へのアクセスなどが考えられます。攻撃者は、悪意のあるウェブサイトやメールを通じて、ユーザーを騙し、脆弱なプラグインを介して不正なリクエストを送信する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は2026年1月22日に公開されました。現時点では、公的に利用可能なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後の攻撃の可能性は否定できません。CISAのKEVリストへの登録状況は不明です。
WordPress sites utilizing the Add Polylang support for Customizer plugin, particularly those with users who have administrative privileges or frequently interact with the plugin's settings, are at risk. Shared hosting environments where multiple users share the same WordPress installation are also more vulnerable.
• wordpress / composer / npm:
grep -r 'add_polylang_support_for_customizer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep add_polylang_support_for_customizer• wordpress / composer / npm:
wp plugin update --alldisclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずAdd Polylang support for Customizerを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装するなどの回避策を検討してください。また、ウェブアプリケーションファイアウォール(WAF)を導入し、CSRF攻撃を検知・防御することも有効です。プラグインのアップデート後、設定が正常に適用されていることを確認してください。
既知の修正パッチはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22462は、WordPressプラグインAdd Polylang support for Customizerにおいて、攻撃者が不正なリクエストを送信してユーザーの権限を悪用できるCSRF脆弱性です。
Add Polylang support for Customizerのバージョンが0から1.4.5までの場合は、この脆弱性に影響を受けています。
この脆弱性は、Add Polylang support for Customizerを最新バージョンにアップデートすることで修正できます。
現時点では、公的に利用可能なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後の攻撃の可能性は否定できません。
公式のアドバイザリは、プラグインの作者のウェブサイトまたはWordPressのセキュリティデータベースで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。