WordPressのPrismaticプラグインは、バージョン3.7.3およびそれ以前のすべてのバージョンにおいて、'prismatic_encoded'疑似ショートコードを介したStored Cross-Site Scripting (Stored XSS)の脆弱性を抱えています。これは、'prismatic_decode'関数内のユーザー提供属性に対する不十分な入力サニタイズと出力エスケープが原因です。これにより、認証されていない攻撃者が、コメントに作成された'prismatic_encoded'疑似ショートコードを投稿することで、注入されたページにアクセスするユーザーがアクセスするたびに任意のWebスクリプトを注入できるようになります。

このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、セッションCookieの窃取、ユーザーのリダイレクト、Webサイトの改ざんなど、様々な攻撃が可能になります。特に、管理者のセッションCookieが盗まれた場合、攻撃者は管理権限を奪取し、Webサイト全体を制御する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクを伴います。類似のXSS脆弱性は、Webサイトの信頼性を低下させ、ユーザーの個人情報漏洩につながる可能性があります。

Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/

• wordpress / composer / npm:

wp plugin list | grep prismatic

• wordpress / composer / npm:

wp plugin update prismatic

• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.

1. 2026-04-16Disclosure

   disclosure

1. 予約済み2026-03-10
2. 公開日2026-04-16
3. 更新日2026-04-22
4. EPSS 更新日2026-04-23

Prismaticプラグインをバージョン3.7.4にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、'prismaticencoded'ショートコードに関連する悪意のあるリクエストをブロックすることを検討してください。また、WordPressのセキュリティプラグインを導入し、XSS攻撃の検出と防御を強化することも有効です。プラグインのアップデートが完了したら、脆弱性が修正されていることを確認するために、'prismaticencoded'ショートコードを使用してテストページを作成し、JavaScriptコードが実行されないことを確認してください。

アクティブインストール数

2Kニッチ

プラグイン評価

4.8

WordPressが必要

4.7+

動作確認済みバージョン

7.0

PHPが必要

5.6.20+