つみかさね

CVE-2026-5063

High(7.2)

CVE-2026-5063 — WordPress NEX-Forms プラグイン格納型XSS

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
NEX-Forms – Ultimate Forms PluginStarter Labs<= 9.1.11

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1NEX-Formsプラグインを使用しているか確認する
  2. 2プラグインを最新バージョンへアップデートする
  3. 3フォーム送信データに不審なスクリプトが含まれていないか確認する

影響対象

NEX-Formsプラグイン利用のWordPressサイト管理者

補足

  • -未認証で攻撃可能なため、プラグイン利用サイトは早めの対応を推奨
CVEWordPressNEX-FormsXSSプラグイン

概要

WordPress用プラグイン「NEX-Forms – Ultimate Forms Plugin」(バージョン 9.1.11 以下)に、格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。

submit_nex_form() 関数において、POSTパラメータのキー名に対する入力サニタイズとエスケープが不十分です。未認証の攻撃者がフォーム送信を通じて任意のWebスクリプトを注入でき、管理者がフォームデータを閲覧した際にスクリプトが実行されます。

CVSSベクトル

指標
CVSSスコア7.2
深刻度High
CWECWE-79 (クロスサイトスクリプティング)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
NEX-Forms – Ultimate Forms PluginStarter Labs9.1.11 以下

修正バージョンと回避策

  • プラグインを最新バージョン(9.1.12以降)へアップデートしてください
  • WordPress管理画面 > プラグイン > 更新 から適用可能です

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-5063
Wordfence:https://www.wordfence.com/threat-intel/vulnerabilities/id/9bac82ee-55bf-4381-b441-115a675e4834?source=cve
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。