WordPressでイベント管理・チケット販売を行うプラグイン「Eventin – Event Manager, Event Booking, Calendar, Tickets and Registration Plugin (AI Powered)」において、セキュリティ上の重大な問題が確認されました。影響を受けるのは、バージョン 4.0.51 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によってプラグイン設定が変更され、サイトに悪意のあるスクリプトが埋め込まれるおそれがあります。
対策として、バージョン 4.0.52 以降への更新を強く推奨します。
脆弱性詳細
本脆弱性は、プラグイン設定を変更するREST API機能において、操作を行うユーザーの権限確認が適切に行われていなかったことに起因します。
その結果、ログインしていない第三者が、API経由でプラグイン設定を読み取り・変更できる状態となっていました。
さらに、設定項目の一部(カラー設定)において入力値の検証が不十分であったため、不正なスクリプトコードを設定値として保存することが可能でした。保存されたスクリプトは、イベント関連ページの表示時に実行されます。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
プラグイン設定の不正変更
- イベント表示設定、チケット販売設定などが第三者によって変更される
- イベント管理機能が意図しない動作をする
スクリプト実行による影響
- イベントページやカレンダーページを閲覧したユーザーに対して、悪意のあるスクリプトが実行される
- これにより、個人情報の窃取や不正な操作が行われるおそれ
管理者への影響
- 管理画面でイベント関連ページを閲覧した管理者に対してもスクリプトが実行される
- 管理者のセッション情報が窃取され、WordPress全体への不正アクセスにつながるおそれ
被害発生の条件
- 第三者による攻撃に特別な条件は不要
- ログイン状態やユーザーの操作を必要とせず、API経由で攻撃が可能
- 攻撃後は、イベント関連ページを閲覧したユーザーに影響
技術的な詳細
本脆弱性は、以下の2つの問題が組み合わさることで、深刻な影響をもたらします。
権限チェックの不備
API経由での設定変更を許可するかを判定する処理において、リクエストを送信したユーザーの権限確認が行われていませんでした。
本来は、設定の読み取りや変更を行う際には、WordPressの管理者権限(manage_options)を持つユーザーであることを確認する必要がありましたが、この確認処理が機能していない状態でした。
そのため、未認証の第三者がAPI経由で設定を読み取り・変更できる状態となっていました。
入力値検証の不足
プラグイン設定には、イベント表示のカラーをカスタマイズするための設定項目が存在します。
これらの値は、保存時に16進数カラーコード(例: #5D78FF)であることを検証する処理が実装されていませんでした。その結果、カラーコード以外の任意の文字列を保存することが可能でした。
保存された値は、ページ表示時にCSSスタイルとして直接出力されるため、不正なスクリプトコードを埋め込むことが可能な状態でした。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.0.52 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「Eventin」→「設定」より、設定内容に身に覚えのない変更がないか確認してください。
- 特にカラー設定に、通常のカラーコード(例: #5D78FF)以外の長い文字列が含まれていないか確認してください。
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者権限ユーザーが追加されていないか確認してください。
- 今後の予防策
- プラグインの自動更新を有効化し、セキュリティ更新が迅速に適用されるようにしてください。
- 定期的にプラグインの更新状況を確認してください。
⇒ 不審な設定変更が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Eventin – Event Manager, Event Booking, Calendar, Tickets and Registration Plugin (AI Powered) 4.0.51 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14657 
(公開日 2026年1月9日 更新日 2026年1月9日)
脆弱性の深刻度 (CVSS v3.1)
基本値: 7.2 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14657 悪用確率 0.05% (上位84%) 2026年1月12日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Eventin プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
