プラットフォーム
wordpress
コンポーネント
app-builder
修正版
5.5.11
App Builder – Create Native Android & iOS Apps On The Flight WordPressプラグインにおいて、特権昇格の脆弱性が確認されています。この脆弱性は、攻撃者が不正な権限を取得し、システムに損害を与える可能性があります。影響を受けるバージョンは0.0.0から5.5.10です。開発者は、最新バージョンへのアップデートを推奨します。
この脆弱性を悪用されると、攻撃者は認証なしでWordPressサイトにアカウントを作成し、wcfmvendorロールを付与することが可能になります。wcfmvendorロールは通常、マーケットプレイスのベンダーに割り当てられる権限を持つため、攻撃者はベンダーとしての機能にアクセスし、不正な操作を実行できる可能性があります。これにより、データの改ざん、不正なコンテンツの公開、さらにはサイト全体の制御権の奪取といった深刻な被害が発生する可能性があります。WCFM Marketplaceのベンダー承認ワークフローをバイパスされるため、承認されていないベンダーがシステムに侵入するリスクも高まります。
この脆弱性は、2026年3月21日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者は、WordPressサイトの脆弱性をスキャンし、この脆弱性を悪用する可能性があります。
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、App Builderプラグインをバージョン5.5.11以降にアップデートすることを強く推奨します。アップデートが困難な場合は、WCFM Marketplaceのベンダー承認ワークフローを厳格に実施し、wcfm_vendorロールの割り当てを制限するなどの一時的な回避策を検討してください。また、WordPressのセキュリティプラグインを利用して、不正なアカウント作成やロール変更を監視することも有効です。ファイアウォールやWAFの設定を見直し、不審なリクエストをブロックするルールを追加することも検討してください。
既知の修正プログラムはありません。脆弱性の詳細を詳細に確認し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-2375は、App Builderプラグインのverifyrole()関数におけるwcfmvendorロールの誤ったホワイトリスト登録により、攻撃者が不正な権限を取得する脆弱性です。
バージョン0.0.0から5.5.10を使用している場合は影響を受けます。最新バージョンにアップデートするか、WCFM Marketplaceのベンダー承認ワークフローを厳格に実施してください。
App Builderプラグインをバージョン5.5.11以降にアップデートしてください。アップデートが困難な場合は、WCFM Marketplaceのベンダー承認ワークフローを厳格に実施してください。
現時点では公開されているPoCはありませんが、脆弱性の性質上、悪用される可能性は否定できません。
App Builderプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。