概要
CVE-2026-1920は、WordPressプラグイン「Booking Calendar for Appointments and Service Businesses – Booktics」(バージョン1.0.16およびそれ以前)に存在する脆弱性です。この脆弱性は、プラグイン内の特定の関数(Extension_Controller::update_item_permissions_check)における権限チェックの不備に起因すると報告されており、認証されていない攻撃者がアドオンプラグインをインストールできる可能性があるとされています。
影響範囲
この脆弱性の影響を受けるのは、WordPressプラグイン「Booking Calendar for Appointments and Service Businesses – Booktics」のバージョン1.0.16およびそれ以前の全てのバージョンです。
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- 認証されていない攻撃者によって、WordPressサイトに意図しないアドオンプラグインがインストールされる可能性があります。
- これにより、サイトの機能が変更されたり、悪意のある機能が追加されたりするリスクが考えられます。
- データ改ざんの可能性も指摘されており、サイトの整合性や信頼性が損なわれる恐れがあります。
攻撃成立条件・悪用状況
報告によると、この脆弱性に対する攻撃は認証なしで実行可能とされています。現時点での具体的な悪用状況については、提供された情報からは不明です。
推奨対策
今すぐできる対策(最優先)
- プラグインのアップデート: 「Booking Calendar for Appointments and Service Businesses – Booktics」プラグインを使用している場合は、速やかに最新バージョンへアップデートしてください。開発元から修正版がリリースされているか確認し、適用することが最も効果的な対策です。
中長期的な対策
- WordPressおよび他のプラグインの定期的な更新: WordPress本体および使用している全てのテーマ・プラグインを常に最新の状態に保つことを推奨します。
- セキュリティ監視の強化: サイトの異常な動作や不審なファイルの追加がないか、定期的に監視する体制を強化してください。
一時的な緩和策
現時点では、プラグインのアップデート以外の効果的な一時的緩和策は報告されていません。アップデートが困難な場合は、プラグインの一時的な無効化も検討されますが、サイト機能への影響を十分に評価する必要があります。
確認方法
ご自身のWordPressサイトで「Booking Calendar for Appointments and Service Businesses – Booktics」プラグインがインストールされているか確認してください。インストールされている場合は、そのバージョンが1.0.16以前でないかを確認してください。
参考情報
- CVE-2026-1920 詳細: https://cvefeed.io/vuln/detail/CVE-2026-1920