プラットフォーム
wordpress
コンポーネント
token-of-trust
修正版
3.32.4
3.32.4
Age Verification & Identity Verification by Token of Trust プラグインのバージョン 0.0.0 から 3.32.3 までに、Stored Cross-Site Scripting (XSS) 脆弱性が存在します。この脆弱性は、’description’ パラメータへの不適切な入力サニタイズと出力エスケープに起因します。攻撃者は、悪意のあるスクリプトを注入し、ユーザーが注入されたページにアクセスするたびに実行させることができます。バージョン 3.32.4 以降で修正されています。
WordPressのプラグイン「Age Verification & Identity Verification by Token of Trust」に、Stored Cross-Site Scripting (XSS) の脆弱性が発見されました。この脆弱性はCVE-2026-2834として追跡されており、認証されていない攻撃者が「description」パラメータを介して悪意のあるWebスクリプトを挿入することを可能にします。スクリプトが挿入されると、ユーザーが影響を受けたページにアクセスするたびに実行されます。これは大きなリスクをもたらします。攻撃者はセッションCookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、さらにはWordPressアカウントの制御を奪う可能性があります。CVSSの深刻度は7.2であり、高いリスクを示しています。このリスクを軽減するために、プラグインを更新することが不可欠です。
攻撃者は、プラグインの「description」フィールドに悪意のあるJavaScriptコードを挿入することで、この脆弱性を悪用する可能性があります。このコードは、WordPress管理フォームまたはこのフィールドにデータを入力できるその他のインターフェイスを介して挿入される可能性があります。挿入されると、スクリプトはデータベースに保存され、説明が表示されるページにユーザーがアクセスするたびに実行されます。エクスプロイトの成功は、Webサイトの構成と実装されたセキュリティ対策に依存します。ユーザー入力のサニタイズの欠如が、この脆弱性の根本原因です。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性に対する推奨される解決策は、「Age Verification & Identity Verification by Token of Trust」プラグインをバージョン3.32.4以降に更新することです。この更新には、ユーザー入力を適切にサニタイズし、出力をエスケープするために必要な修正が含まれており、悪意のあるスクリプトの挿入を防ぎます。特にWebサイトが機密情報を処理している場合やトラフィックが多い場合は、この更新をできるだけ早く適用することを強くお勧めします。WordPressのプラグインとテーマを定期的にセキュリティ脆弱性について確認することも推奨されます。堅牢なパスワードポリシーを実装し、二要素認証を有効にすることで、Webサイトのセキュリティをさらに強化できます。
バージョン3.32.4、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者がWebサイトに悪意のあるコードを挿入することを可能にする脆弱性の種類であり、そのコードは、他のユーザーが影響を受けたページを訪問するときに、そのユーザーのブラウザで実行されます。
プラグインのバージョンが3.32.4より前の場合は、影響を受けている可能性があります。すぐに更新してください。
すべてのパスワードを変更し、Webサイトのファイルを悪意のあるコードがないか確認し、セキュリティ専門家にご相談ください。
はい、強力なパスワードを使用し、二要素認証を有効にし、ソフトウェアを最新の状態に保ってください。
CVE (Common Vulnerabilities and Exposures) データベースのID CVE-2026-2834で、より詳しい情報を入手できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。