WowOptin: Next-Gen Popup Maker <= 1.4.29 - 'link' パラメータを介した認証されていない Server-Side Request Forgery (SSRF) (REST API)

このSSRF脆弱性は、攻撃者にとって非常に危険です。攻撃者は、内部ネットワーク上の機密情報（データベース、管理インターフェースなど）にアクセスしたり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。また、内部サービスへのDoS攻撃を実行することも可能です。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。類似のSSRF脆弱性は、内部ネットワークへの不正アクセスや情報漏洩につながる事例が報告されています。

WordPress websites using the WowOptin: Next-Gen Popup Maker plugin, particularly those with limited network segmentation or internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable.

• wordpress / composer / npm:

grep -r 'optn/v1/integration-action' /var/www/html/wp-content/plugins/wow-optin-next-gen-popup-maker/

• generic web:

curl -I https://your-wordpress-site.com/optn/v1/integration-action  # Check for 200 OK response indicating endpoint exposure

1. 2026-03-21Disclosure

   disclosure

1. 予約済み2026-03-16
2. 公開日2026-03-21
3. 更新日2026-04-08
4. EPSS 更新日2026-03-28

まず、WowOptin: Next-Gen Popup Makerプラグインをバージョン1.4.30にアップデートすることを強く推奨します。アップデートが困難な場合は、プラグインを一時的に無効化するか、Webアプリケーションファイアウォール（WAF）を使用して、optn/v1/integration-actionエンドポイントへのアクセスを制限してください。WAFの設定では、許可されたドメインのみへのアクセスを制限するルールを実装することが重要です。また、WordPressのセキュリティプラグインを使用して、不正なリクエストを監視することも有効です。

アクティブインストール数

1K既知

プラグイン評価