プラットフォーム
wordpress
コンポーネント
add-custom-fields-to-media
修正版
2.0.4
CVE-2026-4068は、WordPressのAdd Custom Fields to Mediaプラグインにおけるクロスサイトリクエストフォージェリ(XSRF)脆弱性です。この脆弱性は、nonce検証が不十分なため、攻撃者が不正なリクエストを送信してカスタムメディアフィールドを削除することを可能にします。影響を受けるバージョンは0.0.0から2.0.3までです。開発者はバージョン2.0.4へのアップデートを推奨しています。
このXSRF脆弱性を悪用されると、攻撃者は認証されたユーザーになりすまして、カスタムメディアフィールドを削除できます。これにより、メディアライブラリのデータが失われる可能性があります。攻撃者は、悪意のあるウェブサイトやメールを通じて、被害者のブラウザに不正なリクエストを送信し、被害者がプラグインの管理画面にアクセスした際に自動的に実行されるように仕向けます。この脆弱性は、WordPressサイトの機密性および可用性に影響を与える可能性があります。
CVE-2026-4068は、2026年3月19日に公開されました。現時点では、この脆弱性を悪用した公開PoCは確認されていませんが、XSRF攻撃は一般的な攻撃手法であるため、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。
エクスプロイト状況
EPSS
0.02% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずAdd Custom Fields to Mediaプラグインをバージョン2.0.4にアップデートしてください。アップデートが難しい場合は、WAF(Web Application Firewall)を導入し、XSRF攻撃を検知・防御するルールを設定することを検討してください。また、WordPressのセキュリティプラグインを使用して、nonce検証を強化することも有効です。プラグインのアップデートが完了したら、カスタムメディアフィールドが正常に機能していることを確認してください。
バージョン 2.0.4 以上、または新しい修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4068は、WordPressのAdd Custom Fields to Mediaプラグインのバージョン0.0.0~2.0.3に存在するクロスサイトリクエストフォージェリ(XSRF)脆弱性です。nonce検証の欠如により、攻撃者がカスタムメディアフィールドを削除できます。
はい、WordPressのAdd Custom Fields to Mediaプラグインのバージョン0.0.0から2.0.3を使用している場合は、この脆弱性の影響を受けます。
この脆弱性を修正するには、Add Custom Fields to Mediaプラグインをバージョン2.0.4にアップデートしてください。
現時点では、この脆弱性を悪用した公開PoCは確認されていませんが、XSRF攻撃は一般的な攻撃手法であるため、悪用される可能性は否定できません。
プラグインの公式ウェブサイトまたはWordPressのプラグインリポジトリでアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。