WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性
この発表の要点
- Zoho Mail for WordPressプラグインにクロスサイトリクエストフォージェリの脆弱性が存在する。
- バージョン1.6.2より前のプラグインが影響を受ける。
- 管理者権限ユーザーがログイン中に細工されたページにアクセスすると設定改ざんの可能性がある。
企業・自治体への影響
WordPressを利用する企業や組織は、Zoho Mail for WordPressプラグインのバージョンを確認し、ウェブサイトのセキュリティリスクを評価する必要があります。特にウェブサイトの管理・運用を担当する情報システム部門や広報部門に影響があります。
対応すべきこと
- 自社ウェブサイトで使用しているZoho Mail for WordPressプラグインのバージョンを確認する。
- 影響を受けるバージョンを使用している場合、速やかに最新版へアップデートする。
- ウェブサイト管理者や情報システム部門へ本脆弱性情報を共有する。
- 公式出典(JVN)にて最新情報や詳細なアップデート手順を確認する。
対応優先度: 高 WordPressプラグインの脆弱性であり、ウェブサイトの設定改ざんにつながる可能性があるため、速やかな対応が求められます。
対象部門: 経営者 情シス 広報
対応期限:速やかに確認
基本データ
| 企業・団体 | JPCERT/CC and IPA |
|---|---|
| 業界 | IT・ソフトウェア |
| 発表日 | 2026-06-03 |
| 分類 | サイバーセキュリティ |
発表された内容
公開日:2026/06/03 最終更新日:2026/06/03
JVN#24733221
WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性
Zohoが提供するWordPress用プラグインZoho Mail for WordPressには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Zoho Mail for WordPress 1.6.2より前のバージョン
Zohoが提供するWordPress用プラグインZoho Mail for WordPressには、次の脆弱性が存在します。
クロスサイトリクエストフォージェリ(CWE-352)
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3
CVE-2026-8174
管理者権限を持ったユーザが、当該プラグインを有効にしているサイトにログインしている状態で細工されたページにアクセスした場合、意図しないPOSTリクエストを送信させられ設定内容を改ざんされる可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ
リンク
Zoho
Zoho Mail for WordPress
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:阿部 則夫 氏
JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia
JVNDB-2026-000081
Copyright (c) 2000-2026 JPCERT/CC and IPA. All rights reserved.
出典: JVN 脆弱性情報
URL: https://jvn.jp/jp/JVN24733221/
時系列
- 2026-06-03 WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性情報が公開された。
主な数値
| 影響を受けるバージョン | 1.6.2より前バージョン |
|---|
この事例から確認すべきポイント
この脆弱性情報は、WordPressを利用する企業や組織にとって重要な警告です。Zoho Mail for WordPressプラグインの旧バージョンを使用している場合、管理者権限を持つユーザーがログイン中に細工されたページにアクセスすると、意図しない設定変更のリスクがあります。このようなクロスサイトリクエストフォージェリ(CSRF)攻撃は、ウェブサイトの信頼性やセキュリティを損なう可能性があります。企業は、自社のウェブサイトで使用しているプラグインのバージョンを速やかに確認し、影響を受ける場合は開発者が提供する最新版へのアップデートを最優先で実施する必要があります。また、定期的なセキュリティ監査とプラグインのバージョン管理の重要性が改めて示唆されます。情報セキュリティ早期警戒パートナーシップに基づく報告であることから、迅速な対応が求められます。
公式出典
更新履歴
公開日: 2026-06-03
関連事例
- OpenSSLにおける脆弱性に対するアップデート(2026年6月9日)
- SignalRGBカーネルドライバにおける不適切なアクセス制御およびIOCTLの脆弱性
- RadiX AX6600 WiFi 6 Tri-Band Gaming RouterにおけるOSコマンドインジェクションの脆弱性
- Weekly Report: Oracle PeopleSoft PeopleToolsにリモートコード実行につながる脆弱性
- Weekly Report: VMware Cloud Foundation Operationsに複数の脆弱性
自社のプレスリリースをPRazeに掲載しませんか?
PRazeを見る