プラットフォーム
php
コンポーネント
my-calendar
修正版
3.7.8
3.7.7
My Calendar プラグインに情報漏洩とサービス拒否 (DoS) の脆弱性が存在します。この脆弱性は、認証されていないユーザーが他のユーザーのプライベートまたは非公開のイベントを含むカレンダーイベントを抽出できるIDOR(不安全な直接オブジェクト参照)に起因します。WordPressの標準的なシングルサイト環境では、この脆弱性がPHPワーカーのスレッドをクラッシュさせ、DoS攻撃を引き起こす可能性があります。影響を受けるバージョンは 3.7.6 未満ですが、3.7.7 で修正されています。
CVE-2026-40308 は、My Calendar プラグインにおける重大な脆弱性であり、特に Multisite 環境の WordPress ウェブサイトにリスクをもたらします。認証されていない攻撃者が、Multisite ネットワーク内の任意のサブドメインにあるプライベートまたは非公開のカレンダーイベントにアクセスできるようになり、データの機密性が損なわれます。単一サイトの WordPress インストールでは、この脆弱性を悪用すると PHP ワーカースレッドがクラッシュし、サイトの可用性を妨げる Denial of Service (DoS) 攻撃が発生する可能性があります。
攻撃者は、mc_ajax エンドポイントに慎重に作成された HTTP リクエストを送信することで、この脆弱性を悪用できます。リクエストパラメータを操作することで、攻撃者はアクセス制御を回避し、通常は保護されているカレンダー情報を取得できます。単一サイトのインストールでは、悪意のあるリクエストにより PHP ワーカースレッドが過負荷になり、クラッシュと DoS が発生する可能性があります。脆弱性を悪用するために認証が必要ないため、特に危険です。
エクスプロイト状況
EPSS
2.23% (85% パーセンタイル)
CISA SSVC
推奨される解決策は、My Calendar プラグインを直ちにバージョン 3.7.7 以降にアップデートすることです。このバージョンには、IDOR および DoS 脆弱性を修正する修正が含まれています。さらに、堅牢な認証の実装や機密性の高いリソースへのアクセス制限など、ウェブサイトのセキュリティポリシーを見直し、強化することをお勧めします。サーバーログを監視して潜在的な攻撃を検出し、対応することも重要です。
Actualice el plugin My Calendar a la versión 3.7.7 o superior para mitigar la vulnerabilidad de divulgación de información no autenticada. Esta actualización corrige la forma en que se manejan los argumentos de entrada, previniendo la extracción de eventos de calendario de otros sitios en una instalación de WordPress Multisite.
脆弱性分析と重要アラートをメールでお届けします。
IDOR (Insecure Direct Object Reference) は、Web アプリケーションが、適切な承認チェックを行わずに、予測可能または操作可能な識別子を使用して内部オブジェクトへのアクセスをユーザーに許可する場合に発生します。
DoS は、通常、システムをトラフィックまたはリクエストで過負荷にすることによって、正規のユーザーがオンラインサービスを利用できなくなるように試みる攻撃です。
すぐにアップデートできない場合は、Web アプリケーションファイアウォール (WAF) を使用して脆弱なエンドポイントへのアクセスを制限するなど、一時的な軽減策を実装することを検討してください。
ウェブサイトの My Calendar プラグインのバージョンを確認してください。バージョンが 3.7.7 より前の場合は、脆弱です。
この脆弱性を検出できる WordPress 脆弱性スキャナがあります。詳細については、セキュリティプロバイダーのドキュメントを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。