プラットフォーム
wordpress
コンポーネント
quran-translations-by-edc
修正版
1.7.1
1.7.1
WordPressのQuran Translationsプラグインには、クロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在します。この脆弱性は、攻撃者が認証されていない状態でプラグインの設定を不正に変更することを可能にします。影響を受けるバージョンは1.7以前です。開発者は最新バージョンへのアップデートを推奨しており、ユーザーは速やかに対応する必要があります。
このXSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者権限を装い、Quran Translationsプラグインの設定を自由に書き換えることができます。具体的には、PDF、RSS、ポッドキャスト、メディアプレイヤーリンクなどの表示オプションを有効/無効にしたり、設定値を変更したりすることが可能です。これにより、サイトの表示内容が改ざんされたり、悪意のあるリダイレクトが発生したりする可能性があります。攻撃者は、この脆弱性を利用して、サイトのコンテンツを改ざんし、ユーザーをフィッシングサイトに誘導するなどの攻撃を行う可能性があります。
CVE-2026-4141は、2026年4月7日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSRF脆弱性は比較的悪用が容易であるため、注意が必要です。公開されているPoCは確認されていません。CISA KEVへの登録状況は不明です。
WordPress websites utilizing the Quran Translations plugin, particularly those running versions 1.7 or earlier, are at risk. Shared hosting environments where plugin updates are not consistently managed are also at increased risk, as are sites with weak access controls to the WordPress admin panel.
• wordpress / composer / npm:
grep -r 'quran_playlist_options' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep quran-translations• wordpress / composer / npm:
wp plugin list | grep quran-translationsdisclosure
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずQuran Translationsプラグインを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用してXSRF対策を強化することを検討してください。また、WAF(Web Application Firewall)を導入し、XSRF攻撃を検知・防御するルールを設定することも有効です。プラグインの設定変更には、常に管理者権限が必要であることを確認し、不要な設定変更を制限することも重要です。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4141は、WordPressのQuran Translationsプラグインのバージョン1.7以前に存在するクロスサイトリクエストフォージェリ(XSRF)の脆弱性です。攻撃者はこの脆弱性を利用して、プラグインの設定を不正に変更できます。
はい、WordPressのQuran Translationsプラグインのバージョン1.7以前を使用している場合は、この脆弱性の影響を受けます。最新バージョンへのアップデートが必要です。
この脆弱性の修正方法は、Quran Translationsプラグインを最新バージョンにアップデートすることです。アップデートが困難な場合は、WAFなどの対策を検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSRF脆弱性は比較的悪用が容易であるため、注意が必要です。
Quran Translationsプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。