WooCommerceとメール配信サービスMailerLiteを連携するプラグイン「MailerLite – WooCommerce integration」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.1.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、他の顧客のカート情報が不正に取得される可能性があります。
対策として、バージョン 3.1.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、チェックアウト処理においてカート情報をデータベースから検索する際、外部から送信されたデータの安全性を十分に確認できていない状態にあったことに起因します。
その結果、攻撃者が細工したリクエスト(要求)を送信することで、本来アクセスできない他の顧客のカート情報を検索・取得できる状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
カート情報の不正取得
- データベースに保存されているカート情報が第三者に取得される
- 複数のカート情報が一度に取得される
被害発生の条件
- 攻撃者がサイトにアクセス可能な状態であれば、ログインや特別な権限を必要とせず攻撃が可能
- サイト管理者やユーザーの操作に関わらず、攻撃者単独で実行できます
技術的な詳細
本脆弱性は、HTTPリクエストのパラメータ「ml_checkout」を使用してデータベースを検索する処理において、入力値に対する安全性確認(エスケープ処理)が実装されていなかった点が原因です。
具体的には、データベース検索で使用される「LIKE句」(あいまい検索を行う仕組み)に対して、ワイルドカード文字(すべてに一致する特殊文字)を含む値を送信することが可能でした。
本来は、入力値を安全な形式に変換し、ワイルドカード文字を無害化する処理が必要でしたが、これらが実装されていない状態でした。
そのため、攻撃者が検索条件を操作し、複数のカート情報にアクセスできる状態となっていました。
対策版では、入力値の型変換とエスケープ処理が適切に実装され、検索パターンも厳密に制限されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.1.3 以降)へ更新してください。
- カート・注文履歴の確認
- WooCommerceの管理画面から、不審な注文やカートの動きがないか確認してください。
- 特に、短時間に複数のカートが作成・参照されているような不自然な動きがないかご確認ください。
⇒ 不審なアクセスや異常なカート操作が確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
MailerLite – WooCommerce integration 3.1.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-67945 
(公開日 2026年1月22日 更新日 2026年1月28日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-67945 悪用確率 0.05% (上位86%) 2026年1月31日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
MailerLite – WooCommerce integration プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
