無料スキャン
CRITICALCVE-2026-6510CVSS 9.8

CVE-2026-6510: 特権昇格 in InfusedWoo Pro

プラットフォーム

wordpress

コンポーネント

infusedwooPRO

修正版

5.1.3

NVDで見る
保存

CVE-2026-6510は、WordPressプラグインInfusedWoo Proにおける特権昇格の脆弱性です。この脆弱性は、nonce検証と権限チェックの欠如により、認証されていない攻撃者が任意のユーザーアカウントの認証情報を不正に取得することを可能にします。影響を受けるバージョンは0.0.0から5.1.2までです。バージョン5.1.3で修正されており、速やかにアップデートすることを推奨します。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証なしでInfusedWoo Proプラグインを通じてWordPressサイトにアクセスし、任意のユーザーアカウントの認証情報を盗むことができます。これにより、攻撃者は管理者アカウントを乗っ取り、サイトの完全な制御を奪うことが可能になります。攻撃者は、機密情報へのアクセス、データの改ざん、悪意のあるコードの実行など、広範囲にわたる損害を引き起こす可能性があります。特に、InfusedWoo Proプラグインを導入しているWordPressサイトは、この脆弱性による攻撃のリスクにさらされています。攻撃者は、HTTP POSTトリガーと自動ログインアクションを組み合わせた悪意のあるレシピを作成し、巧妙に細工されたURLを介して認証情報を盗む可能性があります。

悪用の状況

CVE-2026-6510は、2026年5月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSSスコアが9.8(CRITICAL)と非常に高く、緊急度の高い脆弱性として認識されています。この脆弱性は、認証バイパスを可能にするため、攻撃者にとって非常に魅力的であり、今後、悪用される可能性が高いと考えられます。NVDおよびCISAの情報を常に確認し、最新のセキュリティ情報を収集することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート5 件の脅威レポート

CISA SSVC

悪用状況none
自動化可能yes
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントinfusedwooPRO
ベンダーwordfence
最小バージョン0.0.0
最大バージョン5.1.2
修正版5.1.3

弱点分類 (CWE)

CWE-862

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

バージョン5.1.3へのアップデートが最も効果的な対策です。アップデートが直ちに実行できない場合は、WordPressのファイアウォール(WAF)やリバースプロキシを使用して、iwarsaverecipe() AJAXハンドラへの不正なアクセスをブロックすることを検討してください。また、InfusedWoo Proプラグインの設定を見直し、不要な機能を無効化することで、攻撃対象領域を縮小できます。プラグインのアップデート後、WordPressサイトにログインし、管理者の認証情報が安全であることを確認してください。不正なログイン試行がないか、セキュリティログを監視することも重要です。

修正方法

バージョン 5.1.3 以上、または最新の修正バージョンにアップデートしてください

よくある質問

CVE-2026-6510 — 特権昇格 in InfusedWoo Proとは何ですか?

CVE-2026-6510は、WordPressプラグインInfusedWoo Proのバージョン0.0.0~5.1.2において、認証バイパスを許容する特権昇格の脆弱性です。nonce検証と権限チェックの欠如により、攻撃者は任意のユーザーアカウントの認証情報を不正に取得できます。

CVE-2026-6510 in InfusedWoo Proの影響を受けていますか?

InfusedWoo Proプラグインのバージョンが0.0.0から5.1.2までの場合は、影響を受けています。バージョン5.1.3にアップデートすることで、この脆弱性を解消できます。

CVE-2026-6510 in InfusedWoo Proを修正するにはどうすればよいですか?

InfusedWoo Proプラグインをバージョン5.1.3にアップデートしてください。アップデートが直ちに実行できない場合は、WAFやリバースプロキシを使用して、不正なアクセスをブロックすることを検討してください。

CVE-2026-6510は現在積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSSスコアが非常に高いため、今後悪用される可能性が高いと考えられます。

CVE-2026-6510に関するInfusedWoo Proの公式アドバイザリはどこで入手できますか?

InfusedWoo Proの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
稼働中無料スキャン

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...