[ 対応待ち ] vk-blocks-proで使われているSwiper 11.2.10の脆弱性について

[高津妙理]

■ WordPress のバージョン
7

■ テーマ・プラグインは全て最新版で確認してください。
確認しました。

■ 子テーマをご利用の場合は親テーマに変更して症状が改善するか確認してください。
確認しました。

■ テーマの種類
Lightning ( G3 ) + Lightning G3 Pro Unit

■ テーマのバージョン
バージョン: 15.36.0

■ Pro Unit のバージョン
バージョン 0.30.2

■ スキンの種類
Origin III

■ 関連しそうなプラグインを一つずつ停止して症状が改善するか確認してください。
確認しました。

■ プラグインの種類・バージョン
VK Blocks Proバージョン 1.121.1

■ 期待する動作
サイトでの不具合はありません。

■ 自分で試した事
特にありません。

■ 症状が発生するブラウザ
ありません

■ 実際の症状
症状はありません。

■ その他特記事項
ロリポップのネットde診断で
＜対象のバージョン情報＞
・11.2.10 URL: http://npo-visit.net Evidence: [body] /**
* Swiper 11.2.10
* Most modern mobile touch slider and … (source: https://npo-visit.net/new/wp-content/plugins/vk-blocks-pro/vendor/vektor-inc/vk-swiper/src/assets/css/swiper-bundle.min.css?ver=11.2.10), [body] /**

＜検出したCVE番号一覧＞
・CVE-2026-27212 PoC
　　CVSS: 7.8
すみやかに対策してください・・・と診断されました。
この場合、どうしたらよいでしょう？

[石川＠Vektor,Inc.]

弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。

CVE-2026-27212 の正体

種類: プロトタイプ汚染（Prototype Pollution）

Swiper 内部のオブジェクト結合処理（extend() / shared/uti
ls.mjs）で、ユーザー入力に禁止文字列が含まれていないかを
indexOf() でチェックしていたものの、Array.prototype
を経由した細工入力でそのチェックを回避でき、Object.proto
type を汚染できてしまう、という不具合です。

VK Blocks Pro 利用時に実際に危険か → ほぼ無害

この脆弱性が成立するには「攻撃
者が制御する入力が、脆弱な extend()
関数に渡される」ことが必須条件です。報告されている実証も
Node.js / Bun
のサーバーサイドランタイムで「信頼できないデータを
Swiper に流し込む」ケースを前提にしています。

一方、VK Blocks Pro での Swiper の使われ方は:

– ブラウザ（フロントエンド）でスライダーを動かすためだけ
に使用
– スライダーの設定値はサイト制作者が固定で渡すもので、訪
問者の入力を Swiper の設定に流し込む作りにはなっていない

つまり「攻撃者が任意の入力を Swiper
の初期化オプションに注入する」経路が存在しないため、実害
が生じる現実的なシナリオはありません。

診断ツールが警告を出す理由

ロリポップのネット診断は、読み込まれている JS
のバージョン番号をスキャンして既知 CVE
と機械的に突き合わせているだけです。利用方法（攻撃経路が
あるか）までは判定しないため、「11.2.10 = CVE-2026-27212
該当 → 要対応」と一律に出ます。いわゆるバージョンベース
の誤検知（false positive）です。

対応の方針

– フロントエンドのスライダー用途では悪用
経路がありません。
– とはいえ診断ツールの警告を消す・将来の安心のため、念のため Swiper を更新したバージョンを今後リリース予定です。

よろしくお願いいたします。

[投稿者]

投稿