CVE Vulnerability Database

WordPressプラグイン「ProfileGrid – User Profiles, Groups and Communities」にクロスサイトリクエストフォージェリ（CSRF）の脆弱性（CVE-2026-2494）が報告されました。バージョン5.9.8.2およびそれ以前の全バージョンが影響を受け、認証されていない攻撃者が管理者を欺くことで、グループメンバーシップの承認・拒否が可能になる恐れがあります。速やかなプラグインのアップデートが推奨されます。

WordPressプラグイン「MailArchiver」に、管理者設定を介した保存型クロスサイトスクリプティング（XSS）の脆弱性が報告されました。バージョン4.4.0以前の全バージョンが影響を受け、認証済みの管理者権限を持つ攻撃者により、任意のウェブスクリプトが注入される可能性があります。特にマルチサイト環境や`unfiltered_html`が無効な環境で影響を受けます。

XikeStor SKS8310-8Xネットワークスイッチのファームウェアバージョン1.04.B07以前に、予測可能なセッション識別子の脆弱性が報告されています。この脆弱性が悪用されると、リモートの攻撃者によって認証済みセッションが乗っ取られ、不正なアクセスを受ける可能性があります。

WordPressプラグイン「MDJM Event Management」に、認証されていない攻撃者によるカスタムイベントフィールドの削除を可能にする脆弱性（CVE-2026-1650）が報告されました。バージョン1.7.8.1を含むそれ以前の全バージョンが影響を受け、イベント情報の整合性が損なわれる可能性があります。速やかなアップデートが推奨されます。

WordPressプラグイン「Hammas Calendar」のバージョン1.5.11以前に、保存型クロスサイトスクリプティング（Stored XSS）の脆弱性が報告されました。認証された攻撃者が、特定の権限を利用して悪意のあるスクリプトを注入し、サイト訪問者のブラウザで実行させる可能性があります。

WordPressプラグイン「HUMN-1 AI Website Scanner & Human Certification by Winston AI」に、認証済みユーザーがAPI接続設定をリセットできる脆弱性（CVE-2026-1981）が報告されました。本脆弱性は、権限チェックの不備により、購読者レベル以上の権限を持つ攻撃者がプラグインの設定を不正に改ざんする可能性があります。

CVE-2026-25070は、XikeStor SKS8310-8Xネットワークスイッチのファームウェアバージョン1.04.B07以前に存在する、認証されていないリモート攻撃者が任意のOSコマンドを実行できるOSコマンドインジェクションの脆弱性です。この脆弱性を悪用されると、攻撃者はネットワークスイッチ上でroot権限でのリモートコード実行が可能となり、システムが完全に制御される恐れがあります。深刻度は「CRITICAL」と評価されています。

CVE-2026-25071は、XikeStor SKS8310-8X ネットワークスイッチのファームウェアバージョン1.04.B07以前に存在する認証不備の脆弱性です。認証されていないリモート攻撃者が、特定のURLエンドポイントにアクセスすることで、VLAN設定やIPアドレス情報を含む機密性の高いデバイス設定ファイルをダウンロードできる可能性があります。これにより、ネットワーク構成の詳細が露呈し、さらなる攻撃に繋がるリスクが報告されており、深刻度はHIGHと評価されています。

WordPressプラグイン「Stock Ticker」のバージョン3.26.1以前に、Stored Cross-Site Scripting（XSS）の脆弱性（CVE-2026-2722）が報告されました。管理者権限を持つ認証済み攻撃者が、入力値の不適切な処理を悪用し、任意のウェブスクリプトを注入する可能性があります。マルチサイト環境または`unfiltered_html`が無効な環境に影響し、ユーザーが改ざんされたページにアクセスするとスクリプトが実行される恐れがあります。