HIGHCVE-2026-32544CVSS 7.1

WordPress OOPSpam Anti-Spam プラグイン <= 1.2.62 - クロスサイトスクリプティング (XSS) 脆弱性

プラットフォーム

wordpress

コンポーネント

oopspam-anti-spam

修正版

1.2.63

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

OOPSpam Anti-Spamのバージョンn/aから1.2.62において、Webページ生成時の入力処理における不備により、クロスサイトスクリプティング（XSS）の脆弱性が存在します。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトをWebサイトに埋め込み、ユーザーがそのページを閲覧した際にスクリプトが実行される可能性があります。バージョン1.2.63でこの脆弱性は修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がOOPSpam Anti-Spamを導入しているWebサイトのユーザーを標的にする強力な攻撃手段となります。攻撃者は、ユーザーのブラウザ上で任意のJavaScriptコードを実行できるため、Cookieの窃取、セッションハイジャック、リダイレクト、さらにはWebサイトの改ざんといった攻撃を実行可能です。特に、管理者権限を持つユーザーが標的にされると、Webサイト全体が危険にさらされる可能性があります。類似のXSS脆弱性は、Webサイトの信頼性を損ない、ユーザーの個人情報漏洩につながる重大なリスクをもたらします。

悪用の状況

この脆弱性は2026年3月25日に公開されました。現時点では、このCVEに関連する公開されたPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISAのKEVリストへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the OOPSpam Anti-Spam plugin, particularly those running versions prior to 1.2.63, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to lateral movement to others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'oopspam-anti-spam' /var/www/html/wp-content/plugins/
wp plugin list | grep oopspam-anti-spam

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/oopspam-anti-spam/ | grep X-Powered-By

攻撃タイムライン

2026-03-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (11% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントoopspam-anti-spam

ベンダーwordfence

影響範囲修正版

n/a – <= 1.2.621.2.63

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-12
公開日2026-03-25
更新日2026-04-29
EPSS 更新日2026-04-02

緩和策と回避策

まず、OOPSpam Anti-Spamをバージョン1.2.63にアップデートすることが最も効果的な対策です。アップデートが直ちに困難な場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力値のサニタイズやエスケープ処理を徹底し、ユーザーからの入力がWebページに適切に反映されるようにする必要があります。WAFの設定例として、<script>タグやイベントハンドラ属性を含むリクエストをブロックするルールを検討してください。

修正方法

バージョン 1.2.63、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32544 — XSS in OOPSpam Anti-Spamとは何ですか？

CVE-2026-32544は、OOPSpam Anti-Spamのバージョンn/aから1.2.62におけるクロスサイトスクリプティング（XSS）の脆弱性です。攻撃者はWebページ生成時の入力処理の不備を悪用し、悪意のあるスクリプトを実行できます。

CVE-2026-32544 in OOPSpam Anti-Spamの影響はありますか？

はい、OOPSpam Anti-Spamのバージョンn/aから1.2.62を使用している場合、XSS攻撃を受ける可能性があります。Cookieの窃取やセッションハイジャック、Webサイト改ざんなどのリスクがあります。

CVE-2026-32544 in OOPSpam Anti-Spamを修正するにはどうすればよいですか？

OOPSpam Anti-Spamをバージョン1.2.63にアップデートしてください。アップデートが難しい場合は、WAFを導入するなど、一時的な対策を講じてください。

CVE-2026-32544は積極的に悪用されていますか？

現時点では、このCVEに関連する公開されたPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。

CVE-2026-32544に関するOOPSpam Anti-Spamの公式アドバイザリはどこで入手できますか？

OOPSpam Anti-Spamの公式ウェブサイトまたはGitHubリポジトリでアドバイザリをご確認ください。