製品・ソフトウェアに関する情報

JVN脆弱性詳細

WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性

Title	WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	Zohoが提供するWordPress用プラグインZoho Mail for WordPressには、次の脆弱性が存在します。 <ul><li>クロスサイトリクエストフォージェリ（CWE-352）- CVE-2026-8174</li></ul> この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：阿部　則夫氏
Possible impacts	管理者権限を持ったユーザが、当該プラグインを有効にしているサイトにログインしている状態で細工されたページにアクセスした場合、意図しないPOSTリクエストを送信させられ設定内容を改ざんされる可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	June 3, 2026, midnight
Registration Date	June 3, 2026, 12:07 p.m.
Last Update	June 3, 2026, 12:07 p.m.

Affected System

Zoho

Zoho Mail for WordPress 1.6.2より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-8174	https://www.cve.org/CVERecord?id=CVE-2026-8174

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Zoho
1	Zoho Mail for WordPress	https://ja.wordpress.org/plugins/zoho-mail/

その他

No	Name	URL
JVN
1	JVN#24733221	https://jvn.jp/jp/JVN24733221/index.html

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 　掲載	May 28, 2026, 5:37 p.m.

NVD Vulnerability Information

CVE-2026-8174

Summary	Zohocorp Zoho Mail wordpress plugin is vulnerable to Cross-Site request forgery (CSRF). This issue affects Zoho Mail wordpress plugin versions before 1.6.2.
Publication Date	May 26, 2026, 11:16 p.m.
Registration Date	May 27, 2026, 4:08 a.m.
Last Update	May 26, 2026, 11:16 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://wordpress.org/plugins/zoho-mail/#developers	0fc0942c-577d-436f-ae8e-945763c79b02

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html