プラットフォーム
wordpress
コンポーネント
otm-accessibly
修正版
3.0.4
3.0.4
Accessibly WordPressプラグインのバージョン3.0.3以前には、Stored Cross-Site Scripting(XSS)の脆弱性が存在します。この脆弱性は、REST APIエンドポイントの認証チェックが不十分なために発生し、攻撃者が悪意のあるスクリプトをWordPressサイト上で実行することを可能にします。影響を受けるバージョンは3.0.3以前です。プラグインのアップデートによりこの脆弱性は修正されています。
このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、Cookieの窃取、セッションハイジャック、リダイレクト、または悪意のあるコンテンツの表示といった攻撃が可能になります。特に、管理者の権限を持つユーザーが攻撃を受けると、サイト全体の制御を奪われるリスクがあります。REST APIエンドポイントの認証不備は、他のWordPressプラグインにも同様の脆弱性を引き起こす可能性があるため、注意が必要です。
この脆弱性は2026年4月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --alldisclosure
エクスプロイト状況
EPSS
0.09% (26% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずAccessiblyプラグインを最新バージョン(3.0.4以降)にアップデートすることを推奨します。アップデートが困難な場合は、REST APIエンドポイントへのアクセスを制限するWAF(Web Application Firewall)ルールを実装するか、プラグインの設定でREST APIの機能を無効にすることを検討してください。また、WordPressのセキュリティプラグインを使用して、悪意のあるスクリプトの実行を検知・ブロックすることも有効です。
既知の修正プログラムはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-3643は、Accessibly WordPressプラグインのバージョン3.0.3以前に存在するStored Cross-Site Scripting(XSS)脆弱性です。REST APIエンドポイントの認証不備により、攻撃者が悪意のあるスクリプトを実行可能になります。
はい、Accessibly WordPressプラグインのバージョン3.0.3以前を使用している場合、この脆弱性により攻撃者が悪意のあるスクリプトを実行され、Cookieの窃取やセッションハイジャックなどの攻撃を受ける可能性があります。
Accessiblyプラグインを最新バージョン(3.0.4以降)にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、WAFルールを実装するか、REST APIの機能を無効にすることを検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。
Accessiblyプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティアドバイザリページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。