求人情報の掲載や応募・履歴書管理などの機能を提供するプラグイン「WP Job Portal」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.4.9 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル)によって、サーバー上の任意のファイルが削除される可能性があります。
対策として、バージョン 2.5.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、カスタムフィールドに添付されたファイルを削除する処理において、削除対象のファイルパスを適切に制限できていなかったことに起因します。
その結果、ログイン済みのユーザーが操作を細工することで、本来削除を想定していないサーバー上のファイルを削除させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
ファイル削除に関する影響
- サーバー上の任意のファイルが削除される可能性があります
- WordPressの設定ファイルなど、サイト運営に必要なファイルが削除された場合は、サイトが正常に動作しなくなるおそれがあります
被害発生の条件
- 攻撃者がWordPressにアカウントを持ち、ログインした状態
(購読者レベルの低権限アカウント) - 攻撃者がカスタムフィールドのファイル削除操作を悪用
技術的な詳細
本脆弱性は、ファイル削除処理において、削除対象のファイル名を安全な形式に変換する仕組みが実装されていなかった点が原因です。
本来は、ファイル名に含まれる「上位ディレクトリへの移動を示す文字列」(パス・トラバーサル※)を除去し、許可された種類のファイルのみを対象とする必要がありましたが、これらの確認が行われていない状態でした。
そのため、ユーザーが送信するデータの一部を細工することで、定められた保存フォルダの外にあるファイルを削除処理の対象として指定することが可能でした。
対策版(2.5.0)では、これらの検証処理が追加されています。
※ パス・トラバーサル:「../」のような文字列を使って、本来アクセスを想定していないフォルダへ移動する手法のことです。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.5.0 以降)へ更新してください。
- 被害確認
- サイトおよびWordPress管理画面に正常にアクセスできるか確認してください。
- サイトにアクセスした際にWordPressのインストール画面が表示されている場合、設定ファイルが削除されている可能性があります。直ちに専門家へ相談してください。
- カスタムフィールドに登録した添付ファイルが意図せず消えていないか確認してください。
⇒不審な状況が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
WP Job Portal 2.4.9 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4758 
(公開日 2026年3月25日 更新日 2026年4月8日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-4758 悪用確率 0.32% (上位45%) 2026年5月1日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Job Portal プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
