プラットフォーム
wordpress
コンポーネント
noo-citilights
修正版
3.7.2
CVE-2026-24973は、NooTheme CitiLights WordPressテーマにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、ウェブページ生成時にユーザーからの入力を適切に検証・無効化していないことに起因します。攻撃者は、この脆弱性を悪用して、悪意のあるスクリプトをウェブページに挿入し、ユーザーがそのページを閲覧した際にスクリプトが実行される可能性があります。影響を受けるバージョンは、0.0.0から3.7.1です。バージョン3.7.2で修正されました。
このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者はユーザーのCookieを盗み出し、セッションを乗っ取ったり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、ウェブページの内容を改ざんしたりすることが可能になります。特に、管理者権限を持つユーザーが攻撃を受けると、ウェブサイト全体が制御されるリスクがあります。この脆弱性は、類似のXSS攻撃と同様に、ユーザーの機密情報を盗み出し、ウェブサイトの信頼性を損なう可能性があります。
この脆弱性は、2026年3月25日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、攻撃者の関心を集める可能性があります。CISA KEVへの登録状況は不明です。
Websites using the CitiLights WordPress theme, particularly those with user-generated content or forms that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially affected, as a compromise of one site could lead to the compromise of others.
• wordpress / composer / npm:
grep -r "noo-citilights" /var/www/html/wp-content/themes/• wordpress / composer / npm:
wp plugin list | grep citilights• wordpress / composer / npm:
curl -I <vulnerable_url_with_payload> | grep -i content-security-policydisclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずNooTheme CitiLights WordPressテーマをバージョン3.7.2以降にアップデートすることを推奨します。アップデートできない場合は、WAF(Web Application Firewall)を導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力検証を強化し、ユーザーからの入力を適切にサニタイズすることで、XSS攻撃のリスクを軽減できます。WordPressのセキュリティプラグインを利用して、入力検証を自動化することも有効です。
バージョン 3.7.2 以上、または修正された新しいバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24973は、NooTheme CitiLights WordPressテーマのバージョン0.0.0から3.7.1で発生するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるスクリプトを実行し、ユーザーの情報を盗み出す可能性があります。
NooTheme CitiLights WordPressテーマのバージョン0.0.0から3.7.1を使用している場合は、影響を受ける可能性があります。攻撃者は悪意のあるスクリプトを実行し、機密情報を盗み出す可能性があります。
NooTheme CitiLights WordPressテーマをバージョン3.7.2以降にアップデートしてください。アップデートできない場合は、WAFを導入するか、入力検証を強化してください。
現時点では、公的なPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、攻撃者の関心を集める可能性があります。
NooThemeの公式アドバイザリは、NooThemeのウェブサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。