概要
WordPressプラグイン「Livemesh Addons for Beaver Builder」において、保存型クロスサイトスクリプティング(Stored Cross-Site Scripting, XSS)の脆弱性(CVE-2026-2029)が報告されました。この脆弱性は、バージョン3.9.2以前の全てのバージョンに影響を及ぼす可能性があります。認証された攻撃者(Contributor以上の権限を持つユーザー)が、特定のショートコードの属性を介して悪意のあるスクリプトを注入し、サイト訪問者のブラウザ上で実行させることが可能となる恐れがあります。
影響範囲
本脆弱性の影響を受ける可能性があるのは、以下の製品およびバージョンです。
- WordPressプラグイン「Livemesh Addons for Beaver Builder」
- バージョン: 3.9.2以前の全てのバージョン
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- 攻撃者が注入した悪意のあるスクリプトが、当該ページを閲覧したユーザーのブラウザ上で実行される可能性があります。
- これにより、セッションハイジャックによるユーザー情報の窃取、Webサイトの改ざん、フィッシングサイトへの誘導、マルウェアのダウンロードなど、様々な被害が発生する恐れがあります。
- 特に、管理者権限を持つユーザーが影響を受けると、サイト全体の制御が奪われる可能性も考えられます。
攻撃成立条件・悪用状況
攻撃成立条件
本脆弱性は、以下の条件が揃った場合に攻撃が成立する可能性があります。
- 攻撃者がWordPressサイトに対してContributor(投稿者)以上の権限を持つユーザーとして認証されていること。
- 攻撃者が
[labb_pricing_item]ショートコードのtitleおよびvalue属性に、不適切な入力検証と出力エスケープの不備を悪用して悪意のあるスクリプトを注入すること。 - 具体的には、サニタイズ処理後にHTMLエンティティをデコードする
htmlspecialchars_decode()が使用されている点が問題とされています。
悪用状況
現時点では、本脆弱性の具体的な悪用状況に関する情報は公開されていません。
推奨対策
最優先で実施すべき対策
- プラグインのアップデート: 「Livemesh Addons for Beaver Builder」プラグインを、脆弱性が修正された最新バージョンに速やかにアップデートしてください。現時点では具体的な修正バージョンは明記されていませんが、常に最新版へのアップデートが最も効果的な対策となります。
中長期的な対策
- WordPress本体および全プラグイン・テーマの定期的な更新: WordPress本体、使用している全てのプラグイン、テーマを常に最新の状態に保つ運用体制を確立してください。
- 最小権限の原則の適用: ユーザーには必要最小限の権限のみを付与し、特にContributor以上の権限を持つユーザーの管理を厳格化してください。
- Webアプリケーションファイアウォール(WAF)の導入検討: WAFを導入することで、XSS攻撃を含む様々なWeb攻撃からサイトを保護する追加の防御層を構築できます。
一時的な緩和策
プラグインのアップデートが直ちに実施できない場合、以下の緩和策を検討してください。
- 当該プラグインの使用を一時的に停止するか、または当該ショートコード(
[labb_pricing_item])の使用を避けることを検討してください。 - WAFを導入している場合、XSS攻撃パターンをブロックするルールを強化し、設定が適切に適用されていることを確認してください。
確認方法
ご自身のWordPressサイトで「Livemesh Addons for Beaver Builder」プラグインがインストールされているか、またそのバージョンを確認するには、WordPress管理画面にログインし、「プラグイン」→「インストール済みプラグイン」の順に進んでください。リストの中から当該プラグインを見つけ、バージョン情報を確認してください。
参考情報
- CVE-2026-2029の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-2029