WordPress Contact Manager プラグイン <= 9.1 - 反射型クロスサイトスクリプティング (XSS) 脆弱性

このXSS脆弱性は、攻撃者がKleor Contact Managerを使用しているウェブサイトのユーザーを標的にすることを可能にします。攻撃者は、悪意のあるスクリプトをウェブページに埋め込み、ユーザーがそのページを閲覧した際にスクリプトが実行されるように仕向けます。これにより、攻撃者はユーザーのセッションCookieを窃取し、ユーザーになりすまして機密情報にアクセスしたり、ウェブサイトの管理権限を奪取したりする可能性があります。また、攻撃者はユーザーを悪意のあるウェブサイトにリダイレクトし、マルウェア感染やフィッシング詐欺などの攻撃を実行する可能性もあります。この脆弱性は、ウェブサイトの信頼性を損ない、ユーザーのプライバシーを侵害する重大なリスクをもたらします。

Websites using the Kleor Contact Manager plugin, particularly those running older versions (prior to 9.1.1), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "contact-manager" /var/www/html/wp-content/plugins/
wp plugin list | grep contact-manager

• generic web:

curl -I https://example.com/?param=<script>alert(1)</script>

1. 2026-03-25Disclosure

   disclosure

1. 予約済み2026-03-12
2. 公開日2026-03-25
3. 更新日2026-04-29
4. EPSS 更新日2026-04-02

この脆弱性への対応として、まずKleor Contact Managerを9.1.1にアップデートすることを推奨します。アップデートが困難な場合は、入力値の検証とエスケープ処理を厳格に行うことで、XSS攻撃のリスクを軽減できます。また、ウェブアプリケーションファイアウォール（WAF）を導入し、XSS攻撃のパターンを検知・防御することも有効です。WAFの設定では、<script>タグやイベントハンドラなどの悪意のあるコードをブロックするルールを定義してください。さらに、WordPressのセキュリティプラグインを導入し、XSS攻撃に対する防御機能を強化することも推奨されます。アップデート後、ウェブサイト上でXSS攻撃が発生しないことを確認してください。

アクティブインストール数

100既知

プラグイン評価

5.0

WordPressが必要

3.8+

動作確認済みバージョン

6.9.4

PHPが必要

5.3+