プラットフォーム
wordpress
コンポーネント
wp-job-portal
修正版
2.5.0
CVE-2026-4758は、WP Job Portalプラグインの脆弱性で、ファイルパスの検証が不十分なため、認証された攻撃者が任意のファイルを削除できる問題です。これにより、攻撃者はサーバー上で任意のコードを実行する可能性があります。影響を受けるバージョンは2.4.9以下です。この脆弱性はバージョン2.5.0で修正されました。
WordPressのWP Job Portalプラグインには、CVE-2026-4758として識別される、深刻な脆弱性があります。これは、WPJOBPORTALcustomfields::removeFileCustom関数におけるファイルパスの検証が不十分なために、任意のファイルを削除できてしまうというものです。認証された攻撃者が、Subscriberレベル以上のアクセス権を持つ場合、サーバー上の任意のファイルを削除することができ、wp-config.phpのような重要なファイルを削除することで、リモートコード実行(RCE)につながる可能性があります。この脆弱性は、2.4.9までのすべてのバージョンに影響するため、迅速な対応が不可欠です。
Subscriber以上の権限を持つ攻撃者は、WPJOBPORTALcustomfields::removeFileCustom関数を悪用し、任意のファイルパスを指定して削除を実行できます。ファイルパスの検証が不十分なため、セキュリティ保護を回避し、重要なファイルを削除することが可能です。特にwp-config.phpを削除すると、データベースの認証情報が漏洩し、攻撃者がWebサイト全体を制御できるようになります。
エクスプロイト状況
EPSS
0.28% (51% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-4758の軽減策として、WP Job Portalプラグインをバージョン2.5.0以降に更新することが最も効果的です。このバージョンでは、ファイルパスの検証に関する修正が適用されており、不正なファイル削除を防ぎます。一時的な対策として、Subscriber以上の権限を持つユーザーの権限を制限し、サーバーログを監視して不審な活動がないか確認することをお勧めします。
バージョン 2.5.0、またはそれ以降のパッチが適用されたバージョンにアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
WP Job Portalプラグインの脆弱性で、任意のファイルを削除できてしまいます。
2.4.9までのすべてのバージョンが脆弱です。
WP Job Portalプラグインをバージョン2.5.0以降に更新してください。
Subscriber以上の権限を持つユーザーの権限を制限し、サーバーログを監視してください。
侵害されている疑いがある場合は、セキュリティ監査を実施し、クリーンなバックアップから復元することを検討してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。