プラットフォーム
wordpress
コンポーネント
wp-base-booking-of-appointments-services-and-events
修正版
6.0.0
WP BASE Booking of Appointments, Services and Eventsプラグインのバージョン5.9.0以前には、特権昇格の脆弱性が存在します。この脆弱性を悪用されると、認証されていない攻撃者が管理者権限を不正に取得し、システムを制御する可能性があります。影響を受けるバージョンは5.9.0以前です。バージョン6.0.0でこの問題が修正されました。
この脆弱性は、攻撃者がWordPressサイトの管理者権限を容易に取得することを可能にします。攻撃者は、サイトのコンテンツを改ざんしたり、機密情報を盗んだり、悪意のあるコードを実行したりする可能性があります。特に、WordPressサイトの管理者が不十分なセキュリティ対策を講じている場合、攻撃の影響は甚大になる可能性があります。この脆弱性の悪用により、サイト全体が乗っ取られるリスクがあります。
この脆弱性は、2026年4月8日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。攻撃者がこの脆弱性を悪用する可能性を考慮し、迅速な対応が必要です。
エクスプロイト状況
CVSS ベクトル
まず、WP BASE Bookingプラグインをバージョン6.0.0にアップデートすることを強く推奨します。アップデートできない場合は、プラグインを一時的に無効化するか、WordPressのセキュリティプラグインを使用して、攻撃者のアクセスを制限してください。WAF(Web Application Firewall)を導入し、不正なアクセスを検知・遮断するルールを設定することも有効です。また、WordPressのセキュリティ設定を見直し、強力なパスワードの使用や二段階認証の導入を検討してください。
バージョン6.0.0、またはそれ以降の修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-39587は、WordPressプラグインWP BASE Bookingのバージョン5.9.0以前に存在する特権昇格の脆弱性です。認証されていない攻撃者が管理者権限を昇格させることが可能です。
はい、影響があります。バージョン5.9.0以前を使用している場合、攻撃者が管理者権限を不正に取得し、サイトを乗っ取られる可能性があります。
WP BASE Bookingプラグインをバージョン6.0.0にアップデートしてください。アップデートできない場合は、プラグインを無効化するか、WAFなどのセキュリティ対策を講じてください。
現時点では公的なPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。
WP BASE Bookingの公式ウェブサイトまたはWordPressプラグインリポジトリでアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。