悪意のあるボット(自動巡回プログラム)をブロックする機能を提供するプラグイン「Blackhole for Bad Bots」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.8 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者が細工したデータを通じて、サイト管理者のブラウザ上で意図しないスクリプトが実行される可能性があります。
対策として、バージョン 3.8.1 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ブロック済みボットの情報をデータベースに保存する際、特定の文字を無害化する処理(エスケープ処理)が不十分だったことに起因します。
攻撃者がHTTPリクエストのUser-Agent(※1)に悪意のあるコードを仕込んでサイトにアクセスすると、そのコードがデータベースに保存されます。管理者がプラグインの管理画面(ブロック済みボットの一覧)を閲覧した際に、そのコードがブラウザ上で実行される恐れがあります。
※1 User-Agent(ユーザーエージェント):Webサイトへのアクセス時にブラウザやプログラムが送信する、自身の種別を示す情報。攻撃者はここに任意の値を設定することができます。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者が送信した不正なコードがサイト内に保存され、管理者がブロック済みボットの一覧を表示した際にブラウザ上で実行される
- 管理者のセッション情報(Cookie)が盗まれ、管理者アカウントが乗っ取られる可能性がある
通常の管理作業中に影響を受ける可能性があります。
技術的な詳細
本脆弱性は、ボットの情報を管理画面に表示する処理において、HTML出力時に必要なエスケープ処理が実装されていなかった点が原因です。
データ保存時には sanitize_text_field() という関数でHTMLタグの除去は行われていましたが、この関数はHTMLの属性値内で特別な意味を持つ二重引用符などの文字はエンコードしません。
そのため、保存されたデータを管理画面に表示する際に、その値がHTMLの一部として解釈され、不正なスクリプトが実行される状態となっていました。
修正版(3.8.1)では、管理画面への出力時に適切なエスケープ処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.8.1 以降)へ更新してください。
- 被害確認
- アップデート適用後、プラグインの管理画面「Blocked Bots(ブロック済みボット一覧)」を開き、不審なUser-Agent文字列(スクリプトのような記号を含む文字列など)が登録されていないか確認してください。
- 不審な記録が確認された場合は、該当データの削除または「Reset Bad Bots Log(ログのリセット)」を実施してください。
- ※アップデート前に一覧を閲覧すると、その時点でスクリプトが実行されるリスクがあるため、必ず更新後に確認してください。
⇒ 管理者アカウントへの不審なアクセスや意図しない操作が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Blackhole for Bad Bots 3.8 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4329 
(公開日 2026年3月26日 更新日 2026年3月26日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Blackhole for Bad Bots プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
