概要
WordPress用プラグイン「LatePoint – Calendar Booking Plugin for Appointments and Events」において、パスワードリセット機能に起因する権限昇格の脆弱性(CVE-2026-1566)が報告されました。この脆弱性は、LatePoint Agentロールを持つ認証済みユーザーが、新規顧客作成時に特定のフィールドを操作することで、管理者を含む任意のWordPressユーザーのパスワードをリセットし、結果として上位の権限を取得する可能性があるとされています。
本脆弱性の深刻度は「HIGH」と評価されています。
影響範囲
- 対象プラグイン: LatePoint – Calendar Booking Plugin for Appointments and Events
- 影響を受けるバージョン: 5.2.7 およびそれ以前のすべてのバージョン
想定される影響
本脆弱性が悪用された場合、LatePoint Agentロール以上の権限を持つ認証済み攻撃者は、以下の影響を引き起こす可能性があります。
- WordPressサイト上の管理者アカウントを含む、任意のユーザーアカウントのパスワードをリセットする。
- パスワードリセット後、当該アカウントにログインし、管理者権限を含む上位の権限を不正に取得する。
- 結果として、ウェブサイトのコンテンツ改ざん、機密情報の窃取、マルウェアの埋め込みなど、広範な被害につながる可能性があります。
攻撃成立条件・悪用状況
この脆弱性の悪用には、以下の条件が報告されています。
- 攻撃者は、LatePointプラグインにおいて「Agent」レベル以上のロールを持つ認証済みユーザーである必要があります。
- 新規顧客を作成する際に、「wordpress_user_id」フィールドを操作することで、任意のWordPressユーザーIDに顧客を関連付け、そのユーザーのパスワードをリセットすることが可能になるとされています。
現時点では、本脆弱性の具体的な悪用状況については不明です。
推奨対策
今すぐできる対策(最優先)
- プラグインのアップデート: 開発元から提供される修正済みバージョンへ、速やかにアップデートしてください。現時点では、バージョン5.2.8以降で修正されている可能性があります。アップデート前に必ずバックアップを取得し、テスト環境での動作確認を推奨します。
中長期的な対策
- 権限の最小化: LatePoint Agentロールを持つユーザーの数を最小限に抑え、必要最小限の権限のみを付与する運用を徹底してください。
- 定期的なセキュリティ監査: WordPressサイト全体および導入しているプラグインのセキュリティ設定を定期的に見直し、不審な活動がないかログを監視してください。
一時的な緩和策
現時点では、プラグインのアップデート以外に根本的な緩和策は報告されていません。アップデートが困難な場合は、LatePoint Agentロールを持つユーザーの活動を厳重に監視し、不審な顧客作成やパスワードリセットの試行がないか注意深く確認してください。
確認方法
お使いのWordPressサイトにインストールされているLatePointプラグインのバージョンを確認してください。バージョンが5.2.7以前である場合、本脆弱性の影響を受ける可能性があります。
- WordPress管理画面にログインし、「プラグイン」→「インストール済みプラグイン」の順に進みます。
- 「LatePoint – Calendar Booking Plugin for Appointments and Events」を探し、現在のバージョンを確認してください。