ManageWP Worker <= 4.9.31 - 認証されていないStored Cross-Site Scripting

このXSS脆弱性を悪用されると、攻撃者はManageWP Workerプラグインを介してWordPressサイトに悪意のあるJavaScriptコードを注入できます。攻撃者は、ユーザーが特定のページを閲覧した際にこのスクリプトが実行されるように仕掛け、Cookieの窃取、セッションハイジャック、リダイレクト、またはサイトの改ざんなどの攻撃を実行できます。特に、管理者の権限を持つユーザーが影響を受けるページを閲覧した場合、攻撃者はサイト全体を制御する可能性があります。この脆弱性は、ユーザーの機密情報漏洩や、サイトの信頼性低下につながる重大なリスクをもたらします。

WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.

• wordpress / composer / npm:

grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/

• wordpress / composer / npm:

wp plugin list --status=active | grep managewp-worker

• wordpress / composer / npm:

wp plugin update managewp-worker --all

1. 2026-04-13Disclosure

   disclosure

2. 2026-04-13Patch

   patch

1. 公開日2026-04-13
2. 更新日2026-04-21

この脆弱性への対応策として、ManageWP Workerプラグインをバージョン4.9.32以降にアップデートすることを推奨します。アップデートが困難な場合は、WordPressのWAF（Web Application Firewall）プラグインを使用して、XSS攻撃をブロックするルールを実装することを検討してください。また、入力データのサニタイズと出力のエスケープを強化するカスタムコードを実装することも有効です。プラグインのアップデート後、管理画面にログインし、脆弱性が修正されていることを確認してください。

アクティブインストール数

1.0M既知

プラグイン評価

4.6

WordPressが必要

3.1+

動作確認済みバージョン

6.9.4