WordPress RT-Theme 18 | Extensions プラグイン <= 2.5 - クロスサイトリクエストフォージェリ (CSRF) 脆弱性

このCSRF脆弱性は、攻撃者が認証済みユーザーの権限を悪用し、不正な操作を実行することを可能にします。例えば、攻撃者はユーザーの権限で設定を変更したり、機密情報を盗み出したりする可能性があります。攻撃者は、悪意のあるウェブサイトやメールにリンクを埋め込むことで、ユーザーがリンクをクリックした際に脆弱な拡張機能に対してリクエストを送信させることができます。この脆弱性は、RT-Theme 18 | Extensionsを利用しているウェブサイトのセキュリティを脅かす重大なリスクとなります。

Websites using the RT-Theme 18 | Extensions plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially affect others.

• wordpress / composer / npm:

grep -r 'stmcan RT-Theme 18 | Extensions' /var/www/html/
wp plugin list | grep rt18-extensions

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/rt18-extensions/ | grep -i 'rt18-extensions'

1. 2026-04-08Disclosure

   disclosure

1. 予約済み2026-04-07
2. 公開日2026-04-08
3. 更新日2026-04-29
4. EPSS 更新日2026-04-15

この脆弱性への対応策として、まずRT-Theme 18 | Extensionsをバージョン2.5.4にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRFトークン検証を強化することで、攻撃を軽減できます。また、WordPressのセキュリティプラグインを活用し、CSRF対策を強化することも有効です。アップデート後、拡張機能の動作を確認し、不正なリクエストがないか監視してください。