プラットフォーム
wordpress
コンポーネント
wp-rest-cache
修正版
2026.1.1
CVE-2026-25347は、WordPressプラグインWP REST CacheにおけるStored XSS脆弱性です。この脆弱性は、攻撃者が悪意のあるスクリプトをウェブページに埋め込み、他のユーザーがそのページを閲覧した際にスクリプトを実行させることを可能にします。影響を受けるバージョンは0から2026.1.0までです。2026年1月1日にバージョン2026.1.1で修正されました。
このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、ユーザーのセッションCookieの窃取、機密情報の盗難、悪意のあるウェブサイトへのリダイレクト、さらにはWordPress管理画面への不正アクセスといった攻撃が可能になります。特に、管理者が脆弱なプラグインを使用している場合、システム全体への影響が及ぶ可能性があります。攻撃者は、ユーザーが入力したデータや、ウェブページに表示されるコンテンツを悪用して、スクリプトを挿入する可能性があります。
この脆弱性は、2026年3月25日に公開されました。現時点では、公的に利用可能なPoC(Proof of Concept)は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVカタログへの登録状況は不明です。
Websites using the WP REST Cache plugin, particularly those with user-generated content or features that allow users to input data that is stored and displayed by the plugin, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/wp-rest-cache/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-rest-cache• wordpress / composer / npm:
wp plugin update wp-rest-cache --all• generic web: Inspect website source code for suspicious JavaScript code injected into pages served by the WP REST Cache plugin.
disclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、WP REST Cacheプラグインをバージョン2026.1.1以上にアップデートしてください。アップデートが困難な場合は、プラグインを一時的に無効化するか、WP REST Cacheの機能を制限する設定を検討してください。WAF(Web Application Firewall)を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。また、入力データの検証を強化し、ユーザーが提供するデータに悪意のあるスクリプトが含まれていないか確認する対策を講じることが重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
バージョン 2026.1.1、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-25347は、WP REST Cacheプラグインのバージョン0から2026.1.0までのStored XSS脆弱性です。攻撃者は悪意のあるスクリプトを挿入し、ユーザーを騙して実行させることが可能です。
WP REST Cacheプラグインのバージョンが0から2026.1.0の場合は、影響を受けます。バージョン2026.1.1以上にアップデートしてください。
WP REST Cacheプラグインをバージョン2026.1.1以上にアップデートしてください。アップデートが困難な場合は、プラグインを一時的に無効化するか、機能を制限する設定を検討してください。
現時点では公的なPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
プラグインの公式ウェブサイトまたはWordPressのセキュリティアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。