脆弱性の概要

• プラグイン/テーマ名: WebPurify Profanity Filter
• 影響バージョン: 4.0.2 以下
• 脆弱性タイプ: Missing Authorization to Unauthenticated Plugin Settings Change via webpurify_save_options
• CVE ID: CVE-2026-0572
• 重大度: 中
• 公式ページURL: https://wordpress.org/plugins/webpurifytextreplace/

脆弱性の解説

今回お伝えするのは、WordPressプラグイン「WebPurify Profanity Filter」における脆弱性についてです。

この脆弱性は、認証されていないユーザーがプラグインの設定を変更できるという問題を引き起こします。

具体的には、webpurify_save_optionsという機能を通じて、適切な認証を経ずに設定が変更される可能性があります。

このため、悪意のある第三者が不正にプラグインの動作を変更し、サイトのコンテンツフィルタリング機能を無効化したり、意図しない設定を適用したりするリスクがあります。

脆弱性の背景

この脆弱性は、プラグインの設定変更に必要な認証プロセスが欠如していることに起因しています。

WordPressプラグインは、通常、管理者のみが設定を変更できるように設計されていますが、このプラグインではその制御が不十分でした。

このような脆弱性は、過去にも他のプラグインで発見されており、開発者が認証プロセスを適切に実装することの重要性を再認識させる事例となっています。

対策方法と影響

この脆弱性に対する具体的な対策としては、プラグインの開発者が提供する修正済みバージョンにアップデートすることが推奨されます。

しかし、現時点では修正済みバージョンの情報が不明であるため、プラグインの使用を一時的に停止することも検討すべきです。

この脆弱性を放置すると、サイトのセキュリティが脅かされ、悪意のある攻撃者によってサイトの信頼性が損なわれる可能性があります。

専門用語の解説

• CVSS: 共通脆弱性評価システムの略で、脆弱性の深刻度を評価するための基準です。
• CVE: 共通脆弱性識別子の略で、特定の脆弱性に対して一意に割り当てられる識別番号です。
• 認証: システムがユーザーの身元を確認するプロセスです。
• プラグイン: WordPressの機能を拡張するための追加モジュールです。

情報元