プラットフォーム
wordpress
コンポーネント
ays-slider
修正版
2.7.2
CVE-2026-32494は、Ays Pro Image Sliderにおいて、ウェブページ生成時の入力処理の不備により発生するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、攻撃者が不正なスクリプトを注入し、ユーザーのブラウザ上で実行させることを可能にします。影響を受けるバージョンは、n/aから2.7.1までのバージョンです。バージョン2.7.2で修正がリリースされています。
このXSS脆弱性を悪用されると、攻撃者はユーザーが閲覧するウェブページに悪意のあるスクリプトを挿入できます。これにより、攻撃者はユーザーのCookieを盗み取ったり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、ユーザーの代わりにアクションを実行したりすることが可能になります。特に、管理者の権限を持つユーザーが攻撃されると、ウェブサイト全体が乗っ取られるリスクがあります。類似のXSS脆弱性は、ウェブサイトの信頼性を損ない、機密情報の漏洩や不正な操作につながる可能性があります。
CVE-2026-32494は、2026年3月25日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。KEVへの登録状況やEPSSスコアは未評価です。公開されているPoCは確認されていません。
Websites utilizing the Ays Pro Image Slider plugin, particularly those with user authentication or sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r "ays-slider" /var/www/html/wp-content/plugins/
wp plugin list | grep "Ays Pro Image Slider"• generic web:
curl -I https://example.com/ays-slider/ | grep -i "X-XSS-Protection"disclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まずAys Pro Image Sliderをバージョン2.7.2にアップデートすることが最も重要です。アップデートが困難な場合は、ウェブアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、XSS攻撃を検知・防御するルールを適用してください。また、入力値のサニタイズやエスケープ処理を徹底し、悪意のあるスクリプトがウェブページに挿入されるのを防ぐための対策を講じることが推奨されます。アップデート後、ウェブサイトの動作を十分にテストし、XSS攻撃に対する脆弱性がないことを確認してください。
バージョン 2.7.2、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-32494は、Ays Pro Image Sliderのバージョンn/a–<= 2.7.1において、ウェブページ生成時の入力処理の不備により発生するクロスサイトスクリプティング(XSS)脆弱性です。
Ays Pro Image Sliderのバージョンがn/aから2.7.1までの場合は、この脆弱性に影響を受けます。バージョン2.7.2以降を使用している場合は、影響を受けません。
Ays Pro Image Sliderをバージョン2.7.2にアップデートすることで、この脆弱性を修正できます。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Aysの公式アドバイザリは、Aysのウェブサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。