プラットフォーム
wordpress
コンポーネント
simple-social-buttons
修正版
6.2.1
6.2.1
Simple Social Media Share Buttons – Social Sharing for Everyoneプラグインにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が確認されています。この脆弱性は、nonce検証の不備が原因で発生し、攻撃者が認証された管理者権限を悪用する可能性があります。影響を受けるバージョンは6.2.0以前であり、6.2.1へのアップデートで修正されています。
このCSRF脆弱性を悪用されると、攻撃者は正規の管理者としてWordPressサイト上で任意の操作を実行できます。例えば、設定の変更、プラグインのインストール/アンインストール、コンテンツの改ざんなどが考えられます。攻撃者は、巧妙に作成された悪意のあるリンクをクリックさせることで、管理者を騙し、これらの操作を実行させることが可能です。この脆弱性は、サイトの完全な制御を攻撃者に渡す可能性があり、重大なセキュリティリスクとなります。
この脆弱性は2026年4月7日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Simple Social Media Share Buttonsプラグインをバージョン6.2.1にアップデートしてください。アップデートが困難な場合は、プラグインの機能を一時的に無効化するか、WordPressのセキュリティプラグインを利用してCSRF攻撃を緩和できます。WAF(Web Application Firewall)を導入し、CSRFトークンの検証を強化することも有効です。また、管理者のアカウントへのアクセスを制限し、二段階認証を有効にすることで、攻撃のリスクを軽減できます。
バージョン6.2.1、またはそれ以降の修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34904は、Simple Social Media Share Buttonsプラグインのバージョン6.2.0以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。攻撃者は管理者権限を悪用し、不正な操作を実行する可能性があります。
Simple Social Media Share Buttonsプラグインのバージョンが6.2.0以前の場合は、影響を受けます。バージョン6.2.1にアップデートすることで修正されます。
Simple Social Media Share Buttonsプラグインをバージョン6.2.1にアップデートしてください。アップデートが困難な場合は、プラグインを一時的に無効化するか、WAFなどのセキュリティ対策を講じてください。
現時点では公的なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。
Simple Social Media Share Buttonsの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティ情報ページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。