つみかさね

CVE-2026-4882

Critical(9.8)

CVE-2026-4882 — WordPress User Registration Advanced Fields 任意ファイルアップロードの脆弱性

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
User Registration - Advanced FieldsWPEverest1.6.20 以前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1User Registration - Advanced Fieldsプラグインのバージョン1.6.20以前を使用しているか確認
  2. 2最新バージョンへのアップデートを速やかに実施
  3. 3アップデート不可の場合はフォームからProfile Pictureフィールドを削除
  4. 4サーバー上に不審なファイルがアップロードされていないか確認

影響対象

WordPress (User Registration - Advanced Fields プラグイン)

補足

  • -未認証で攻撃可能なため、該当プラグイン使用時は最優先で対応してください
CVEWordPressUser Registration Advanced Fieldsファイルアップロード

概要

WordPress 用プラグイン「User Registration - Custom Registration Form, Login Form, and User Profile For WordPress(Advanced Fields)」のバージョン 1.6.20 以前に、任意のファイルをアップロードできる脆弱性が存在します。

この脆弱性は、URAF_AJAX::method_upload メソッドにおいてファイルタイプの検証が欠如していることに起因します。フォームに「Profile Picture」フィールドが追加されている場合、未認証の攻撃者が任意のファイルをアップロードすることが可能となり、結果としてリモートコード実行(RCE)につながる危険性があります。

WordPress サイトでこのプラグインを使用している管理者は、直ちにプラグインを最新バージョンにアップデートしてください。アップデートが困難な場合は、フォームから Profile Picture フィールドを一時的に削除することで影響を軽減できます。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-434 (危険なタイプのファイルの無制限アップロード)

影響を受けるソフトウェア

  • User Registration - Advanced Fields プラグイン バージョン 1.6.20 以前

修正バージョンと回避策

  • 修正方法: プラグインを最新バージョンにアップデートしてください
  • 暫定回避策: フォームから「Profile Picture」フィールドを削除し、ファイルアップロード機能を無効化してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-7458WordPress User Verification 認証バイパスの脆弱性CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-4882
Wordfence:https://www.wordfence.com/threat-intel/vulnerabilities/id/f2c6a377-216f-4d61-8fae-ec5bc2793cdf?source=cve
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。