無料スキャン
分析待ちCVE-2026-1719

CVE-2026-1719: SQL Injection in Gravity Bookings

プラットフォーム

wordpress

コンポーネント

gf-bookings-premium

修正版

2.6

NVDで見る
保存

CVE-2026-1719は、WordPressのGravity Bookings PremiumプラグインにおけるSQLインジェクション脆弱性です。不十分なエスケープ処理とSQLクエリの不適切な準備が原因で、攻撃者は既存のクエリにSQL文を追加してデータベースから機密情報を抽出できる可能性があります。この脆弱性は、バージョン2.5.9以前のGravity Bookings Premiumプラグインに影響を与えます。バージョン2.6へのアップデートで修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

このSQLインジェクション脆弱性を悪用すると、攻撃者はデータベース内の機密情報に不正にアクセスできる可能性があります。これには、ユーザーの個人情報(名前、メールアドレス、パスワードなど)、予約情報、支払い情報などが含まれます。攻撃者は、データベースを改ざんしたり、削除したりすることも可能です。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。類似のSQLインジェクション攻撃は、過去に多くのWebサイトで発生しており、データ漏洩やサービス停止などの深刻な被害をもたらしています。

悪用の状況

この脆弱性は、2026年5月5日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SQLインジェクション脆弱性は悪用されやすい脆弱性であるため、早期の対策が必要です。CISAやNVDからの情報公開を注視し、最新の脅威情報に基づいて対策を講じることを推奨します。攻撃の可能性は中程度と評価されています。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.08% (24% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントgf-bookings-premium
ベンダーwordfence
最大バージョン2.5.9
修正版2.6

弱点分類 (CWE)

CWE-89

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

まず、Gravity Bookings Premiumプラグインをバージョン2.6にアップデートすることを強く推奨します。アップデートできない場合は、WAF(Web Application Firewall)を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、WordPressのデータベースユーザーの権限を最小限に抑え、不要な権限を削除することも有効です。さらに、入力値の検証を強化し、SQLクエリのパラメータを適切にエスケープすることで、SQLインジェクション攻撃のリスクを軽減できます。アップデート後、データベースの整合性を確認し、不正なデータがないか確認してください。

修正方法

バージョン 2.6、またはそれ以降の修正されたバージョンにアップデートしてください

よくある質問

CVE-2026-1719 — SQLインジェクションはGravity Bookingsで何ですか?

CVE-2026-1719は、WordPressのGravity Bookings Premiumプラグインのバージョン2.5.9以前に存在するSQLインジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、データベースから機密情報を抽出できる可能性があります。

CVE-2026-1719でGravity Bookingsを使用していますか?

WordPress管理画面から、Gravity Bookings Premiumプラグインのバージョンを確認してください。バージョンが2.5.9以前の場合は、脆弱性の影響を受けています。

CVE-2026-1719でGravity Bookingsを修正するにはどうすればよいですか?

Gravity Bookings Premiumプラグインをバージョン2.6にアップデートしてください。アップデートが難しい場合は、WAFの導入や入力値の検証強化などの対策を講じてください。

CVE-2026-1719は積極的に悪用されていますか?

現時点では公開されているPoCは確認されていませんが、SQLインジェクション脆弱性は悪用されやすい脆弱性であるため、早期の対策が必要です。

CVE-2026-1719のGravity Bookingsの公式アドバイザリはどこで入手できますか?

Gravity Bookingsの公式ウェブサイトまたはWordPressプラグインリポジトリで、CVE-2026-1719に関するアドバイザリを確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...