Inquiry form to posts or pages <= 1.0 - Stored Cross-Site Scripting via 'inq_header' ParameterへのCross-Site Request Forgery

この脆弱性を悪用されると、攻撃者はWordPressサイトの管理画面にアクセスすることなく、任意のJavaScriptコードを実行できます。これにより、ユーザーのCookieの窃取、セッションハイジャック、Webサイトの改ざん、悪意のあるリダイレクトなどが可能になります。特に、管理者がこのプラグインを使用している場合、攻撃者は管理者の権限を乗っ取るリスクがあります。この脆弱性は、ユーザーが入力したデータが適切にサニタイズされていないために発生しており、攻撃者は巧妙に細工されたリクエストを送信することで、XSS攻撃を成功させることができます。類似のXSS脆弱性は、Webサイトのセキュリティを著しく損なう可能性があります。

Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.

• wordpress / composer / npm:

grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'

• wordpress / composer / npm:

wp plugin list | grep 'inquiry-form-to-posts-or-pages'

1. 2026-04-15Disclosure

   disclosure

1. 予約済み2026-04-14
2. 公開日2026-04-15
3. 更新日2026-04-16
4. EPSS 更新日2026-04-22

この脆弱性への対応策として、まずプラグインを最新バージョンにアップデートすることが最も重要です。アップデートが利用できない場合は、Web Application Firewall（WAF）を設定し、悪意のあるリクエストをブロックすることを検討してください。また、入力検証を強化し、ユーザーからの入力を厳密にサニタイズすることで、XSS攻撃のリスクを軽減できます。WordPressのセキュリティプラグインを利用して、入力フィールドの検証を強化することも有効です。さらに、WordPressのセキュリティ設定を見直し、不要なプラグインを削除することも推奨されます。アップデート後、プラグインの設定を確認し、nonceが正しく検証されていることを確認してください。

アクティブインストール数

10

プラグイン評価