WooCommerce向けウィッシュリスト機能を提供するプラグイン「WPC Smart Wishlist for WooCommerce」のバージョン 5.0.3 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、ウィッシュリスト(ほしいものリスト)の共有URLを知っている第三者が、本来は閲覧のみ可能であるべきウィッシュリストの内容を削除・改ざんすることが可能となっています。対策バージョン 5.0.4 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます
- ウィッシュリストの不正な削除・改ざん
- 共有されたウィッシュリストから商品が削除される
- ウィッシュリスト全体が空にされる
- 商品に付けられたメモ(購入予定日、用途など)が改ざんされる
- ユーザー体験への影響
- 後で購入する予定だった商品リストが消失する
- 結婚式や誕生日などのイベント用ウィッシュリストが台無しになる
- 価格比較や検討中商品の記録が失われる
- サイト運営者への影響
- 顧客からのクレーム対応が必要となる
- ウィッシュリスト機能への信頼性低下
- 売上機会の損失(購入予定商品が消えることによる)
- 注意:この脆弱性では個人情報の漏洩やサイト全体への影響は確認されていません
技術的な詳細
この脆弱性は、以下の問題により発生します
- ウィッシュリスト所有者確認の欠如
- プラグインは友人や家族とウィッシュリストを共有する機能を持つ
- 修正前は、このURLを知っている人なら誰でも編集・削除が可能だった
- 本来は所有者のみが変更できるべき操作に、所有者確認が実装されていなかった
- 影響を受ける操作
- ウィッシュリストから商品を削除する処理
- ウィッシュリスト全体を空にする処理
- 商品にメモを追加・変更する処理
- これら3つの処理で、操作実行者がウィッシュリストの所有者であるかの確認が行われていなかった
- 認証不要での攻撃実行
- WordPressにログインしていない状態でも攻撃が実行可能
- 第三者が、ブラウザの機能を使って特定の操作を実行することで削除や改ざんが可能
- 悪意の有無に関わらず、技術的知識があれば誰でも実行可能な状態だった
- 修正内容
- バージョン 5.0.4 で追加実装されたチェック関数により、操作を実行しようとしているユーザーが、実際にそのウィッシュリストの所有者であるかを確認
- 所有者でない場合は「このウィッシュリストから商品を削除する権限がありません」というエラーメッセージが表示され、操作が拒否される
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します
- プラグインの更新
- プラグインを対策バージョン(5.0.4以降)に即座に更新
- 被害確認
- ウィッシュリストの確認
- 顧客から「ウィッシュリストの商品が消えた」という問い合わせがないか確認
- 管理画面でウィッシュリストデータに異常な空の状態がないか確認
- 商品のメモ欄に不審な内容が書き込まれていないか確認
- アクセスログの確認
- ウィッシュリスト操作のAJAXリクエストへの不審なアクセス
- 短時間で同一ウィッシュリストに対する大量の削除操作
- 異なるIPアドレスから同じウィッシュリストへの操作
- データベースの確認
wp_optionsテーブルのwoosw_list_*で始まるオプション名のデータを確認- 予期せず空になっているウィッシュリストデータの有無
- ウィッシュリストの確認
- 追加のセキュリティ対策
- 定期的なプラグイン更新:すべてのプラグインを最新版に保つ
- バックアップの実施:定期的なサイト全体のバックアップ
- 顧客への案内:ウィッシュリスト機能の更新を顧客に案内し、異常があれば報告を依頼
⇒顧客から「ウィッシュリストが勝手に消えた」などの報告がある場合や、不審な操作ログが確認された場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
WPC Smart Wishlist for WooCommerce 5.0.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-11518 
(公開日 2025年10月11日 更新日 2025年10月14日)
脆弱性の深刻度 (CVSS v3)
基本値: 5.3 (警告) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-11518 悪用確率 0.05% (上位84%) 2025年12月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WPC Smart Wishlist for WooCommerce プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
