WordPressテーマ「JupiterX」の機能を提供するプラグイン「JupiterX Core」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 4.14.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル以上)によって、本来許可されていない危険な種類のファイルがサーバーにアップロードされる可能性があります。
対策として、バージョン 4.14.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、以下2つの問題が組み合わさることで成立します。
① ポップアップテンプレートのインポート機能における権限確認の欠如
ポップアップのテンプレートをインポートする処理において、操作を行うユーザーが管理者であるかどうかの確認が実装されていませんでした。その結果、サイトに登録済みの低権限ユーザーでも、本来は管理者のみが使えるインポート機能を呼び出せる状態となっていました。
② ファイルアップロード処理における種別検証の不備
フォームからのファイルアップロード処理において、ファイルの種別を確認する際にファイルの実際の内容と照合する処理が行われておらず、危険なファイルを除外するためのリストにも一部の拡張子(.phar・.php8・.svg・.dfxp・.xhtml 等)が含まれていませんでした。
想定される被害
サーバー上でのファイル実行
特定のサーバー設定(.phar 拡張子のファイルをPHPとして実行するよう構成されている環境)においては、アップロードされたファイルがサーバー上で実行される可能性があります。この影響はすべてのサーバー環境で発生するものではなく、上記の条件を満たす環境に限られます。
管理者のブラウザ上での不正スクリプト実行
.svg・.dfxp・.xhtml 形式のファイルがアップロードされた場合、管理者がそのファイルをブラウザで直接開いた際に、埋め込まれたスクリプトが実行される可能性があります。これにより、管理者のセッション情報が窃取されるおそれがあります。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、サイトの購読者レベル以上のアカウントを持っている
- ファイル実行の被害については、上記に加えてサーバーが
.pharファイルをPHPとして実行する設定になっている - スクリプト実行の被害については、管理者がアップロードされたファイルをブラウザで直接閲覧している
技術的な詳細
本脆弱性は、2つの処理における実装上の不備が組み合わさったことが原因です。
ポップアップテンプレートのインポートを行う処理に、呼び出し元ユーザーの権限を確認する仕組みと、リクエストの正当性を確認するノンス(※)検証が欠落していました。
加えて、フォームからアップロードされたファイルの種別を検証する処理において、ファイルの実際の内容と照合する処理が行われておらず、除外すべき拡張子のリストにも不足がありました。
対策版(4.14.2)では、インポート処理への権限確認とノンス検証の追加、およびファイルの実際の内容に基づく種別確認と除外リストの拡充が行われています。
※ノンス:リクエストが正規の操作によるものかを確認するための使い捨てコードです。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(4.14.2 以降)へ更新してください。
- 不審なファイルの確認
- サーバー上の
wp-content/uploads/jupiterx/forms/ディレクトリに、心当たりのないファイルが存在しないか確認してください。 - 特に
.phar・.php8・.svg・.dfxp・.xhtmlの拡張子を持つファイルが存在する場合は、削除を検討し、WordPressの専門家への相談を推奨します。
- サーバー上の
- ポップアップテンプレートの確認
- WordPress管理画面より、身に覚えのないポップアップが追加されていないか確認してください。不審なポップアップが確認された場合は、削除を行ってください。
⇒不審なファイルや意図しないポップアップが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
JupiterX Core 4.14.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3533 
(公開日 2026年3月23日 更新日 2026年3月24日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3533 悪用確率 0.22% (上位56%) 2026年3月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
JupiterX Core プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
