WordPress の Contextual Related Posts プラグインは、Stored Cross-Site Scripting に脆弱

WordPressのContextual Related Postsプラグインには、Stored Cross-Site Scripting (XSS)の脆弱性が存在します。これは、貢献者レベル以上のアクセス権を持つ認証された攻撃者が、WordPressのページに悪意のあるJavaScriptコードを挿入できることを意味します。他のユーザーがこれらのページを訪問すると、スクリプトがそのユーザーのブラウザで実行され、攻撃者がCookieを盗んだり、悪意のあるWebサイトにリダイレクトしたり、ユーザー名義で他の有害なアクションを実行したりする可能性があります。この脆弱性は、'other_attributes'パラメータの入力の適切なサニタイズが不足していることに起因し、コードの挿入を可能にします。この脆弱性はCVSSスコア6.4を持ち、中程度のリスクを示しています。このリスクを軽減するために、プラグインを更新することが不可欠です。

1. 予約済み2026-02-22
2. 公開日2026-04-18
3. 更新日2026-04-22
4. EPSS 更新日2026-04-25

推奨される解決策は、Contextual Related Postsプラグインをバージョン4.2.2以降に更新することです。このバージョンには、XSS脆弱性の修正が含まれています。さらに、以前のプラグインバージョンで'other_attributes'パラメータを使用していたすべてのページを調べて、悪意のあるコードが挿入されていないか確認してください。Content Security Policy (CSP)を実装することで、プラグインを直ちに更新できない場合でも、XSSの影響を軽減できます。サーバーログを監視して、疑わしいアクティビティがないか確認することも、優れたセキュリティプラクティスです。

アクティブインストール数

60K既知

プラグイン評価