WordPressの開発・デバッグ情報を表示するプラグイン「Query Monitor」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.20.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、攻撃者の用意したURLへ誘導された管理者のブラウザ上で、不正なスクリプトが実行される可能性があります。
対策として、バージョン 3.20.4 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、Query Monitor がリクエストURLの内容を画面に表示する処理において、特定の文字やコードを無害化する処理(エスケープ処理)が行われていなかったことに起因します。
その結果、攻撃者が悪意のあるコードを含むURLを構成し、管理者をそのURLへ誘導することで、Query Monitor のパネルが表示された際に不正なスクリプトが実行される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(反射型XSS)
- 攻撃者が送り込んだスクリプトにより、管理者のセッション情報(Cookie)が窃取され、管理者アカウントが乗っ取られる可能性があります
これにより、管理画面への不正アクセスやサイト全体への影響につながる可能性があります。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 管理者がWordPressにログインした状態である
- 管理者が、攻撃者の用意したURLにアクセスする
アクセスした時点でQuery Monitorのパネルが開き、追加の操作なくスクリプトが実行されます。
技術的な詳細
具体的には、URLを整形して画面に出力するための内部関数において、リクエストURLにクエリパラメータの区切り文字が含まれない場合に限り、エスケープ関数(esc_html)が適用されない実装となっていました。
WordPressにはHTMLとして解釈される特殊文字を無害な文字列に変換するエスケープ関数(esc_html)がありますが、この処理が行われない条件が存在していました。
攻撃者はこの条件を満たす形でスクリプトを含むURLを構成し、管理者が誘導されてアクセスすることで、管理者のブラウザ上でスクリプトを実行させることが可能でした。
対策版では、この条件下でも必ずエスケープ処理が行われるよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.20.4 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、意図しない管理者権限を持つユーザーが存在しないか確認してください。
- 不審なユーザーが確認された場合は、該当ユーザーの修正または削除を行ってください。
- 追加のセキュリティ対策
- 管理者アカウントでのログイン中は、不審なリンクを開かないよう注意してください。
- WAF(Web Application Firewall)の導入は、不正なスクリプトを含むリクエストを遮断するのに有効です。
⇒不審なユーザーアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Query Monitor 3.20.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4267 
/ RESERVED(2026年3月31日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-4267 悪用確率 0.07% (上位80%) 2026年3月31日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Query Monitor プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
