概要
WordPressプラグイン「Booking Calendar for Appointments and Service Businesses – Booktics」のバージョン1.0.16およびそれ以前の全てのバージョンにおいて、複数のREST APIエンドポイントに認証不備(missing capability check)の脆弱性(CVE-2026-1919)が報告されています。この脆弱性により、認証されていない攻撃者が機微なデータを不正に照会できる可能性があります。
影響範囲
- 対象製品: WordPressプラグイン「Booking Calendar for Appointments and Service Businesses – Booktics」
- 影響を受けるバージョン: バージョン1.0.16およびそれ以前の全てのバージョン
想定される影響
本脆弱性が悪用された場合、認証されていない攻撃者によって、REST APIエンドポイントを通じて機微なデータが照会される可能性があります。具体的にどのようなデータが「機微なデータ」に該当するかは、プラグインの利用状況や設定に依存しますが、予約情報、顧客情報、サービスに関する詳細情報などが含まれる可能性が考えられます。
攻撃成立条件・悪用状況
攻撃成立条件
- 脆弱なバージョンの「Booktics」プラグインが稼働しているWordPressサイトであること。
- 認証されていない状態でのREST APIエンドポイントへのアクセスが可能であること。
悪用状況
現時点では、この情報源からは具体的な悪用状況は報告されていません。
推奨対策
今すぐできる対策(最優先)
- プラグインのアップデート: 開発元から修正版がリリースされている場合は、速やかに最新バージョンへアップデートしてください。本情報源では修正版のバージョンは明記されていませんが、常に最新版への更新を心がけることが重要です。
中長期的な対策
- WordPressおよび他のプラグインの定期的な更新: WordPress本体や他の利用中のプラグインも常に最新の状態に保ち、既知の脆弱性から保護してください。
- REST APIの利用状況の確認: 必要に応じて、WordPressのREST APIへのアクセス制限(例: .htaccessやWAFによる制限)を検討してください。ただし、サービスへの影響を慎重に評価する必要があります。
- セキュリティ監視の強化: 不審なアクセスがないか、ウェブサイトのログを定期的に監視し、異常を早期に検知できる体制を整えてください。
一時的な緩和策
本脆弱性は認証なしでアクセス可能なREST APIエンドポイントに起因するため、根本的な解決にはプラグインのアップデートが必要です。一時的な緩和策としては、ウェブアプリケーションファイアウォール(WAF)などで、Bookticsプラグインが利用するREST APIエンドポイントへのアクセスを制限することが考えられますが、サービスへの影響を慎重に評価する必要があります。
確認方法
- 利用中のWordPressサイトで「Booking Calendar for Appointments and Service Businesses – Booktics」プラグインがインストールされているか確認してください。
- プラグインのバージョンが1.0.16以下である場合、本脆弱性の影響を受ける可能性があります。WordPress管理画面の「プラグイン」セクションでバージョン情報を確認できます。
参考情報
- CVE-2026-1919の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-1919