WordPressでAIコンテンツ生成やチャットボット機能を提供するプラグイン「GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.1.8 までのすべてのバージョンです。
本脆弱性を悪用された場合、悪意ある第三者が送信したチャットメッセージを通じて、サイト管理者のブラウザ上で不正なスクリプトが実行される可能性があります。
対策として、バージョン 1.1.9 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、チャットボット機能が入力されたデータを処理・表示する際、特定の文字やコードを無害化する処理(エスケープ処理)が適切に行われていなかったことに起因します。
その結果、攻撃者がチャットメッセージ入力欄に悪意のあるJavaScriptなどのプログラムコードを埋め込むことが可能となっていました。この不正なコードはサーバー上のデータベースに保存され、管理者がチャット履歴を閲覧した際に実行される恐れがあります。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者がチャットを通じて送信したスクリプトがサイト内に保存され、管理者が管理画面でチャット履歴を表示した際にブラウザ上で実行される
- これにより、管理者のセッション情報(Cookie)が盗まれ、管理者アカウントが乗っ取られる可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、チャットボット経由でスクリプトを含むメッセージを送信する
- 管理者が、プラグインの管理画面(Chat Historyなど)を閲覧する
技術的な詳細
本脆弱性は、チャットメッセージやボタンのラベルなどを画面に表示する処理において、安全な形式への変換を行う関数が使用されていなかった点が原因です。
具体的には、PHPのプログラム内でHTMLやJavaScriptを生成する箇所で、本来必要な esc_html() や esc_js() といったエスケープ関数が欠落していました。
そのため、ブラウザがチャットの内容を単なる文字としてではなく、実行可能なプログラムとして解釈してしまう状態となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.1.9 以降)へ更新してください。
- ログの確認(慎重な操作が必要です)
- アップデート適用後、GeekyBotのチャット履歴(Chat History)に不審なメッセージが含まれていないか確認してください。
- アップデート前に履歴を確認すると、その時点でスクリプトが実行されるリスクがあるため、必ず更新後に行ってください。
- セキュリティ対策の強化
- 管理者アカウントでのログイン中は、不審なリンクを開かないよう注意してください。
- WAF(Web Application Firewall)の導入は、XSS攻撃のリクエストを遮断するのに有効です。
⇒不審な操作履歴や管理者の意図しないアカウント作成などが確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation 1.1.8 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-15266 
(公開日 2026年1月14日 更新日 2026年1月14日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-15266 悪用確率 0.10% (上位73%) 2026年1月31日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
GeekyBot プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
