WordPressでWooCommerceのメールテンプレートをカスタマイズするプラグイン「Kadence WooCommerce Email Designer」のバージョン 1.5.17 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、注文時に入力する顧客情報に不正なコードを仕込むことで、サイト管理者がメールプレビュー画面を表示した際に攻撃が実行される可能性があります。対策バージョン 1.5.18 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 管理者のセッション情報が窃取される
- 管理者がメールプレビュー画面を表示した際、不正なコードが実行される
- 管理者のログイン情報(セッションクッキー)が攻撃者に送信される可能性がある
- 窃取された情報を使い、攻撃者が管理者として不正操作を行う恐れがある
- 被害発生の条件
- サイト管理者または編集者がWordPressにログイン中
- 攻撃者が注文時の請求先名前欄に不正なコードを入力
- 管理者がその注文を含むメールのプレビュー画面を表示する
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 顧客情報の安全な処理が不十分
- メールプレビュー画面で使用するJavaScriptコードに、注文時の顧客情報(請求先の名前、注文番号、ユーザー名)を直接埋め込んでいた
- 本来は「エスケープ処理」という安全化の手順を踏む必要があるが、これが実装されていなかった
- そのため、顧客が名前欄に特殊な文字列を入力すると、それがそのままJavaScriptコードとして実行されてしまう
- 攻撃の流れ(概要)
- 攻撃者が注文時の請求先名前欄に、特殊な文字列を含む内容を入力
- サイト管理者がその注文のメールプレビュー画面を表示
- プレビュー画面内で不正なコードが実行され、管理者の情報が外部に送信される
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.5.18以降)に更新。
- 被害確認
- データベースログ・注文データの確認
- WooCommerceの注文データベースで、以下の特殊文字を含む請求先名前を検索
"'<>\(コード解析で判明したエスケープ対象文字)
- 検索対象フィールド:請求先名前(first_name, last_name)
- WooCommerceの注文データベースで、以下の特殊文字を含む請求先名前を検索
- データベースログ・注文データの確認
⇒不審なデータが見られる場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
Kadence WooCommerce Email Designer 1.5.17 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-13387 
(公開日 2025年12月2日 更新日 2025年12月2日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13387 悪用確率 0.07% (上位78%) 2025年12月4日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Kadence WooCommerce Email Designer プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
