プラットフォーム
wordpress
コンポーネント
pagelayer
修正版
2.0.8
CVE-2026-2442は、WordPressプラグインPagelayerに存在するCRLFインジェクションの脆弱性です。コンタクトフォームハンドラーが、ユーザーが制御するフォームフィールドでプレースホルダー置換を行い、メールヘッダーにCR/LF文字を削除せずに渡すことで発生します。影響を受けるバージョンは2.0.7以下です。この脆弱性は、バージョン2.0.8で修正されました。
CVE-2026-2442 は、WordPress の Page Builder: Pagelayer プラグインに影響を与え、認証されていない攻撃者が任意の電子メールヘッダーを挿入することを可能にします。これは、連絡フォームハンドラーでの CRLF (キャリッジリターン改行) シーケンスの適切な中和の失敗が原因です。プラグインは、攻撃者が制御するフォームフィールドでプレースホルダーを置き換え、その後、CR/LF 文字を削除せずに結果の値を電子メールヘッダーに渡します。攻撃者はこの脆弱性を悪用して、連絡フォームを通じて送信される電子メールの受信者、件名、または追加のヘッダーを変更し、スパム送信や電子メール配信の操作を可能にする可能性があります。この脆弱性の深刻度は、CVSS に従って 5.3 と評価されており、中程度のリスクを示しています。
攻撃者は、入力フィールドに CRLF 文字を含む悪意のある連絡フォームを送信することにより、この脆弱性を悪用する可能性があります。これらの文字は電子メールヘッダーに挿入され、攻撃者が電子メールの動作を制御できるようになります。たとえば、攻撃者は電子メールの受信者を変更したり、偽のヘッダーを追加したり、電子メール本文に悪意のあるコードを挿入したりする可能性があります。連絡フォームの送信に必要な認証がないため、この脆弱性は特に懸念されます。なぜなら、誰でもこの脆弱性を悪用できるからです。
エクスプロイト状況
EPSS
0.10% (28% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性の解決策は、Page Builder: Pagelayer プラグインをバージョン 2.0.8 以降に更新することです。このバージョンには、電子メールヘッダーで使用される前にフォームフィールド内の CRLF シーケンスを適切に中和する修正が含まれています。プラグインのすべてのユーザーが、可能な限り早くこの更新を適用して、悪用のリスクを軽減することを強くお勧めします。さらに、連絡フォームに関連するサーバーログに不審なアクティビティがないか確認してください。悪用が疑われる場合は、ユーザーアカウントのパスワードを変更し、Web サイトの包括的なセキュリティスキャンを実行してください。
バージョン 2.0.8 以降、またはそれ以降のパッチが適用されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CRLF (キャリッジリターン改行) シーケンスは、キャリッジリターン (\r) と改行 (\n) の 2 つの文字の組み合わせです。多くのオペレーティングシステムと通信プロトコルで、テキスト行の終わりを示すために使用されます。
CRLF シーケンスが正しく中和されない場合、悪意のあるコードを挿入したり、システムの動作を操作したりするために使用される可能性があります。この場合、電子メールヘッダーの挿入が可能になります。
プラグインをすぐに更新できない場合は、連絡フォームを一時的に無効にするか、サーバー側の入力検証など、追加のセキュリティ対策を実装することを検討してください。
連絡フォームに関連するサーバーログに不審なアクティビティがないか確認してください。不明な受信者宛に送信された電子メールや、通常とは異なる件名を探してください。
この脆弱性を検出できる WordPress 脆弱性スキャナーがあります。入力フィールドに CRLF 文字を含む連絡フォームを送信することで、手動テストを実行することもできます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。