WordPressでページ作成・編集機能を提供するプラグイン「Brizy – Page Builder」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.8.11 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者がフォームの送信データに不正なスクリプトを埋め込み、管理者がそのデータを閲覧した際にブラウザ上で実行される可能性があります。
対策として、バージョン 2.8.12 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが提供するフォーム機能において、送信データの保存・表示に関する複数の処理が組み合わさることで発生します。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者がフォーム送信を通じて埋め込んだ不正なスクリプトがサイト内に保存され、管理者が該当データを表示した際にブラウザ上で実行される
- これにより、管理者のセッション情報(Cookie)が盗まれ、管理者アカウントが乗っ取られる可能性がある
被害発生の条件
- 攻撃者がサイトのフォーム送信用エンドポイントにアクセスできる状態であれば、ログインなしで攻撃が可能
- 管理者がプラグインの管理画面(Leads一覧)を閲覧した時点でスクリプトが実行される
技術的な詳細
本脆弱性は、フォーム送信データの保存から表示までの一連の処理において、複数の不備が重なることで発生していました。
- フォーム送信処理で、未ログインユーザーに対するリクエストの正当性確認(nonce検証)が行われていなかった
- ファイルアップロード欄に実際のファイルが添付されなかった場合、リクエストに含まれる値を空にする処理がなく、攻撃者が指定した値がそのまま保持されていた
- データ保存時に
htmlentities()でエンコードされた特殊文字が、表示時にhtml_entity_decode()で元に戻されていた - 管理画面のフォームデータ表示テンプレートにおいて、ファイルアップロード欄の値がリンクのhref属性およびテキスト内容にエスケープなしで出力されていた
対策版では、(2)でファイル未添付時に値を空にする処理が追加され、(4)で esc_url() および esc_html() によるエスケープ処理が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.8.12 以降)へ更新してください。
- 被害確認(※必ずプラグイン更新後に実施してください。更新前にLeads画面を閲覧すると、不正なスクリプトが実行されるリスクがあります。)
- WordPress管理画面のBrizyメニュー内「Leads」画面を開き、フォーム送信データの一覧を確認してください。
- ファイルアップロード欄の値に、通常のファイルURL以外の不審な文字列(例:
javascript:で始まる値や、<scriptを含む値)が記録されていないか確認してください。 - 不審なデータが確認された場合は、該当するLeadsデータを削除してください。
- セキュリティ対策の強化
- WAF(Web Application Firewall)の導入は、不正なスクリプトを含むフォーム送信を遮断するのに有効です。
⇒不審なデータや、管理者の意図しない操作履歴が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Brizy – Page Builder 2.8.11 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5324 
/ RESERVED(2026年5月2日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Brizy – Page Builder プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
