[石川＠Vektor,Inc.]

弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。

CVE-2026-27212 の正体

種類: プロトタイプ汚染（Prototype Pollution）

Swiper 内部のオブジェクト結合処理（extend() / shared/uti
ls.mjs）で、ユーザー入力に禁止文字列が含まれていないかを
indexOf() でチェックしていたものの、Array.prototype
を経由した細工入力でそのチェックを回避でき、Object.proto
type を汚染できてしまう、という不具合です。

VK Blocks Pro 利用時に実際に危険か → ほぼ無害

この脆弱性が成立するには「攻撃
者が制御する入力が、脆弱な extend()
関数に渡される」ことが必須条件です。報告されている実証も
Node.js / Bun
のサーバーサイドランタイムで「信頼できないデータを
Swiper に流し込む」ケースを前提にしています。

一方、VK Blocks Pro での Swiper の使われ方は:

– ブラウザ（フロントエンド）でスライダーを動かすためだけ
に使用
– スライダーの設定値はサイト制作者が固定で渡すもので、訪
問者の入力を Swiper の設定に流し込む作りにはなっていない

つまり「攻撃者が任意の入力を Swiper
の初期化オプションに注入する」経路が存在しないため、実害
が生じる現実的なシナリオはありません。

診断ツールが警告を出す理由

ロリポップのネット診断は、読み込まれている JS
のバージョン番号をスキャンして既知 CVE
と機械的に突き合わせているだけです。利用方法（攻撃経路が
あるか）までは判定しないため、「11.2.10 = CVE-2026-27212
該当 → 要対応」と一律に出ます。いわゆるバージョンベース
の誤検知（false positive）です。

対応の方針

– フロントエンドのスライダー用途では悪用
経路がありません。
– とはいえ診断ツールの警告を消す・将来の安心のため、念のため Swiper を更新したバージョンを今後リリース予定です。

よろしくお願いいたします。

[石川＠Vektor,Inc.]

お世話になっております。ベクトルの石川でございます。
VWS側では支払い完了となっておりますが詳細確認の為、
過去に入金のあった paypal のアカウント（メールアドレス）を下記よりご連絡いただけますでしょうか？

フォーラムからの誘導専用のお問い合わせ

よろしくお願いいたします。

[石川＠Vektor,Inc.]

弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。

ご連絡の症状はテーマ側で処理をしているわけではなく、プラグインが原因だと思われます。

挙動としてはクラシックエディタではなく、プラグイン Advanced Editor Tools ではないかなと思いますが、有効化していないでしょうか？

エディタに関連しそうなプラグインを１つずつ停止、編集画面を再読み込みして、症状が改善するかご確認くださいませ。

よろしくお願いいたします。

[石川＠Vektor,Inc.]

修正版リリースいたしました。
1.1.13 にてご確認くださいませ。

https://github.com/vektor-inc/vk-booking-manager/releases

[石川＠Vektor,Inc.]

capabilities を文字列ではなく数字で指定しているものがある環境下において、報告のエラーが発生する事を確認いたしました。

お手数おかけして恐れ入りますが 1.1.3 のリリースまで今暫くお待ちくださいませ。

[石川＠Vektor,Inc.]

弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。

禁止設定にはしていませんが、すでに最低価格で提供していると考えており、
諸々大変厳しい状況ですのであえて「OKです」という記載をしていません。
こっそりやってくださいという事情です。

よろしくお願いいたします。

[石川＠Vektor,Inc.]

弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。

まず手元の環境で確認した限り “仕様通り” 動作はいたしました。

と、言いますのは、まず、画像をクリックした所画像は変更可能です。
クリア自体がそもそも実装されていなかった状態で、
※INABA様がご指摘の「クリア」はアイコンの色の事で画像ではない

これはUIとしては良くないのですが、既にブロックの組み合わせでこれより柔軟に作れるようになって非推奨なため、改善もしていないという状態です。

下記が一番近いと思います。

カラム_丸抜き画像

画像のサイズだけ少し小さくしてご利用ください。

よろしくお願いいたします。

[石川＠Vektor,Inc.]

おまたせいたしました。
VK All in One Expansion Unit 9.117.2 で対応いたしました。

[石川＠Vektor,Inc.]

おまたせいたしました。
VK All in One Expansion Unit 9.117.2 で対応いたしました。

[石川＠Vektor,Inc.]

https://github.com/vektor-inc/vk-all-in-one-expansion-unit/issues/1375

[石川＠Vektor,Inc.]

> 1. Advanced Query Loop などで、複数の投稿タイプを読み込ませる「クエリーループ」を作成する。

クエリーループブロックは Advanced Query Loop を使っても１つの投稿タイプしか選択できないと思いますが、
対象の投稿タイプの違う複数のクエリーループブロックを配置するという事ですか？

手元の環境で症状を再現させられていないので、もう少し具体的な設定を記載よろしくお願いいたします。

[石川＠Vektor,Inc.]

https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/1376

[石川＠Vektor,Inc.]

弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。

フッターメニューをモバイルで左揃えにしているのは文字数が多い場合に、画面が狭くて折り返しになると残り数文字で折り返しになったりして見栄えが悪いため、意図的にしている仕様です。

設定についてはこれ以上増やしても、設定項目が多くなりすぎて余計わかりにくくなるため、現状予定していません。
下記CSSを 追加CSS などに記載すると中央揃えになります。

@media (max-width: 767.98px) {
.footer-nav-list li{
	text-align:center;
}
}

PCと同じ横並びのモードも、普通に用意するとヘッダーメニューと同じ項目・文字数の多いナビゲーションを割り当てて改行されて見栄えの悪い状態になってしまうユーザーが増える事が安易に予想される…と言いますか BizVektor の時にそのようなサイトが量産されてしまったため「誰が使ってもなるべく崩れないテーマ」にしたいため、モバイル時でも横並びにするオプションは予定していません。

その他細かくレイアウト指定したい場合は恐れ入りますがブロックテンプレートパーツの使用をご検討くださいませ。

よろしくお願いいたします。

[石川＠Vektor,Inc.]

テーマは何ですか？

[石川＠Vektor,Inc.]

お世話になっております。ベクトルの石川でございます。
yahooメールに弾かれにくくなるように設定調整いたしました。

改めてご確認くださいませ。

よろしくお願いいたします。

[投稿者]

投稿