独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月3日、WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。阿部則夫氏が報告を行っている。影響を受けるシステムは以下の通り。
Zoho Mail for WordPress 1.6.2より前のバージョン
Zohoが提供するWordPress用プラグインZoho Mail for WordPressには、クロスサイトリクエストフォージェリの脆弱性(CVE-2026-8174)が存在し、管理者権限を持ったユーザが、当該プラグインを有効にしているサイトにログインしている状態で細工されたページにアクセスした場合、意図しないPOSTリクエストを送信させられ設定内容を改ざんされる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
