WordPressでサイト機能の拡張を行うツールキットプラグイン「Nexter Extension – Site Enhancements Toolkit」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.4.6 までのすべてのバージョンです。
本脆弱性を悪用された場合、外部の第三者によって不正なデータが送信され、サイト内のリンクURLが改ざんされる可能性があります。また、特定の条件下ではサイトの乗っ取りにつながる恐れもあります。
対策として、バージョン 4.4.7 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが外部からのデータを受け取って処理する際の「安全確認」が不足していたことに起因します。
具体的には、認証されていない(ログインしていない)状態の訪問者であっても、管理者向けの処理リクエストを送信できる状態でした。また、送られてきたデータの形式をチェックせずに復元してしまう不備があり、これが攻撃の足がかりとなる可能性がありました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サイト内リンクの改ざん
- サイト内のリンクURLを一括置換する機能が、認証なしで悪用される可能性
- サイト内のリンク先がフィッシングサイトやマルウェア配布サイトへ書き換えられる恐れ
サイト乗っ取りのリスク(条件付き)
- サーバー上で不正なプログラムを実行され、サイト全体を制御される恐れ
- ただし、この攻撃が成立するには、攻撃の連鎖に利用可能なプログラム(POPチェーン)を含む他のプラグインやテーマが同サイト内にインストールされている必要があります
技術的な詳細
本脆弱性の原因は大きく2点あります。
1. アクセス制御の欠落:本来は管理者のみが実行すべきデータ置換機能が、権限チェックの不備により、ログインしていない外部ユーザーからも呼び出し可能となっていました。
2. 安全でないデータ復元処理:PHPの unserialize() 関数を使用する際に、復元するオブジェクトの種類を制限していませんでした。これにより、攻撃者が用意した悪意あるオブジェクトを生成させる「PHPオブジェクトインジェクション」攻撃が可能となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.4.7 以降)へ更新してください。
- 被害確認
- サイト内の記事や固定ページに含まれるリンクが、
意図しないURL(見覚えのない外部サイトなど)に書き換えられていないか確認してください。 - サーバー上に見覚えのない不審なファイルが作成されていないか確認してください。
- サイト内の記事や固定ページに含まれるリンクが、
- 追加のセキュリティ対策
- 不要なプラグインやテーマは削除してください。
(本脆弱性は他のプラグインのコードを悪用して被害を拡大させる性質があるため、不要なプラグインを減らすことでリスクを低減できます)
- 不要なプラグインやテーマは削除してください。
⇒サイトの挙動に不審な点(勝手に別サイトへ転送される等)が見られる場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Nexter Extension – Site Enhancements Toolkit 4.4.6 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-0726 
(公開日 2026年1月20日 更新日 2026年1月20日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-0726 悪用確率 0.08% (上位75%) 2026年1月23日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Nexter Extension プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
