WordPressでGDPR(個人情報保護規則)への対応として、データ削除・退会機能を提供するプラグイン「WP DSGVO Tools (GDPR)」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.1.38 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、管理者以外の登録ユーザーのアカウントが即時かつ不可逆的に破壊される可能性があります。
対策として、バージョン 3.1.39 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、退会処理(アカウントの即時削除)を実行する機能において、リクエストを送信したユーザーが管理者権限を持つかどうかの確認が行われていなかったことに起因します。
本来この処理は管理者のみが即時実行できるものでしたが、権限確認が欠落していたため、ログインしていない第三者でも、対象ユーザーのメールアドレスを指定するだけで即時実行させられる状態でした。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
対象ユーザーへの影響
- パスワードがランダムな文字列に書き換えられ、ログインできなくなる
- ログイン名・メールアドレスが意味のない文字列に書き換えられる
- サイト上での役割(ロール)が剥奪される
- 投稿したコメントが匿名化される
- 登録された個人情報(氏名・住所等のメタ情報)が削除される
パスワード・ログイン名・メールアドレスはすべてランダムな文字列に書き換えられるため、元の情報での復元ができなくなります。
被害発生の条件
- サイトに退会フォームが設置されている
- 攻撃者が対象ユーザーのメールアドレスを知っている
管理者の操作や、被害を受けるユーザー自身のログインは不要です。
技術的な詳細
本脆弱性は、退会処理を即時実行させる特定のパラメータを含むリクエストに対して、送信者が管理者権限を持つかどうかの確認が実装されていなかった点が原因です。
また、この処理へのリクエストに必要な認証コード(nonce(ノンス):サーバーが発行する1回限りの確認用コード)は、退会フォームが設置されたページを表示するだけで誰でも取得できる状態でした。そのため、ログインしていない攻撃者であっても、有効なリクエストを組み立てて送信することが可能でした。
修正版(3.1.39)では、即時実行処理の前に管理者権限の有無を確認する処理が追加され、管理者以外はこの処理を実行できなくなりました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.1.39 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューから、以下のいずれかに該当するアカウントが存在しないか確認してください。
- ユーザー名が「deleted_user_」で始まっている
- メールアドレスが「deleted_user_〈任意の文字列〉@example.com」の形式になっている
- 該当するアカウントが見つかった場合、意図しない退会処理が実行された可能性があります。影響範囲の調査とアカウントの再作成を行ってください。
- WordPress管理画面の「ユーザー」メニューから、以下のいずれかに該当するアカウントが存在しないか確認してください。
⇒ 被害が確認された場合や対応に不安がある場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
WP DSGVO Tools (GDPR) 3.1.38 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4283 
(公開日 2026年3月24日 更新日 2026年3月24日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.1 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-4283 悪用確率 0.10% (上位72%) 2026年3月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP DSGVO Tools (GDPR) プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
