プラットフォーム
wordpress
コンポーネント
barcode-scanner-lite-pos-to-manage-products-inventory-and-orders
修正版
1.11.1
1.12.0
Barcode Scanner (+Mobile App) – Inventory manager, Order fulfillment system, POS (Point of Sale) WordPressプラグインには、特権昇格の脆弱性が存在します。この脆弱性は、ユーザーが提供するBase64エンコードされたユーザーIDをトークンパラメータとして信頼し、認証トークンを漏洩させること、およびsetUserMetaアクションにメタキー制限がないことが原因です。影響を受けるバージョンは、1.11.0以前です。1.12.0へのアップデートで修正されています。
この脆弱性を悪用されると、認証されていない攻撃者は、WordPressプラグインの管理者の権限を昇格させることができます。攻撃者は、不正なトークンを生成し、それを使用して管理者権限でアクションを実行することが可能です。これにより、機密データの窃取、システムの改ざん、さらにはWordPressサイト全体の制御権の奪取といった深刻な被害が発生する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクがあります。
この脆弱性は、2026年4月16日に公開されました。現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず、WordPressプラグインをバージョン1.12.0にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、プラグインの設定でトークン認証を無効にすることを検討してください。また、WAF(Web Application Firewall)を導入し、不正なトークン認証の試行を検知・遮断するルールを設定することも有効です。プラグインのファイル内で、setUserMetaアクションに対するメタキー制限を実装することも有効な対策となります。
バージョン 1.12.0、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4880は、Barcode Scanner WordPressプラグインのバージョン1.11.0以前で、不正なトークン認証により特権昇格が発生する脆弱性です。攻撃者はこの脆弱性を悪用して、管理者の権限を昇格させることが可能です。
Barcode Scanner WordPressプラグインのバージョン1.11.0以前を使用している場合は、影響を受ける可能性があります。攻撃者は、不正なトークンを生成し、管理者権限でアクションを実行することが可能です。
Barcode Scanner WordPressプラグインをバージョン1.12.0にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、プラグインの設定でトークン認証を無効にすることを検討してください。
現時点では、公開されているPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。
Barcode Scanner WordPressプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。