プラットフォーム
wordpress
コンポーネント
taboola-pixel
修正版
1.1.5
CVE-2026-32545は、Taboola Pixelにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、攻撃者はWebページに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能になります。Taboola Pixelのバージョンn/aから1.1.4が影響を受けます。バージョン1.1.5へのアップデートで修正されています。
このXSS脆弱性は、攻撃者がユーザーのブラウザ上で任意のJavaScriptコードを実行できることを意味します。これにより、攻撃者はCookieやセッション情報などの機密情報を盗み出すことが可能になります。また、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトの見た目を改ざんしたりすることも可能です。この脆弱性は、特にTaboola PixelをWebサイトに埋め込んでいる場合に、広範囲に影響を及ぼす可能性があります。類似のXSS脆弱性は、Webサイトのセキュリティを著しく低下させる要因となります。
この脆弱性は、2026年3月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVへの登録状況は不明です。
Websites utilizing the Taboola Pixel component, particularly those with user-supplied input that is not properly sanitized before being used within the Taboola Pixel, are at risk. Shared hosting environments where multiple websites share the same Taboola Pixel installation are also potentially vulnerable, as a compromise on one site could impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/taboola-pixel/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep taboola-pixeldisclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、Taboola Pixelをバージョン1.1.5にアップデートすることです。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃をブロックすることを検討してください。また、入力値の検証とエスケープ処理を徹底することで、XSS攻撃のリスクを軽減できます。Taboola Pixelの構成設定を見直し、不要な機能を無効化することも有効な対策となります。
バージョン 1.1.5、またはより新しい修正版にアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-32545は、Taboola Pixelのバージョンn/aから1.1.4までのクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。
Taboola Pixelのバージョンn/aから1.1.4を使用している場合は、影響を受けます。バージョン1.1.5にアップデートすることで、この脆弱性を修正できます。
Taboola Pixelをバージョン1.1.5にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを使用してXSS攻撃をブロックすることを検討してください。
現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
Taboolaのセキュリティアドバイザリページで確認してください。具体的なURLは、Taboolaの公式ウェブサイトでご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。