WordPressのプラグインおよびテーマのコードを管理画面上で編集できるプラグイン「WP Editor」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.2.9.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、管理者の操作をきっかけとして、サイト上のプラグインやテーマのPHPファイルが攻撃者の用意した内容に書き換えられる可能性があります。改ざんされたファイルはWordPressの動作の中でサーバー上で実行されるため、サイト全体に深刻な影響を及ぼすおそれがあります。
対策として、バージョン 1.2.9.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインやテーマのファイルを保存する処理において、そのリクエストが管理者自身の正当な操作によるものかを確認する仕組みが実装されていなかったことに起因します。
その結果、管理者がログイン状態のまま攻撃者の用意したページを閲覧するなどした場合に、管理者の意図しないファイル変更がサーバー上で実行される可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
プラグイン・テーマファイルの改ざん
- プラグインまたはテーマのPHPファイルが、攻撃者の指定した内容に上書きされる可能性
- 改ざんされたファイルはWordPressの通常動作の中で実行されるため、データベースの不正操作、管理者アカウントの作成、バックドアの設置など、サイトの制御権を奪われるおそれ
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 管理者がWordPressにログインした状態である
- 管理者が、攻撃者の用意したリンクをクリックする、または不正なページを閲覧する
- 対象のプラグインまたはテーマのファイルにサーバー上で書き込み権限がある
技術的な詳細
本プラグインには、管理画面上でプラグインファイルやテーマファイルのコードを編集・保存する機能があります。この保存処理では、管理者権限の確認は行われていたものの、「nonce(ノンス)」と呼ばれるリクエストの正当性を検証するための仕組みが実装されていませんでした。
nonce検証がなかったため、攻撃者が外部サイト上に不正なフォームを設置することで、そのページを閲覧した管理者のブラウザから意図しないファイル保存リクエストを送信させることが可能な状況でした。このリクエストには保存先のファイルパスと書き込む内容を指定できるため、攻撃者が任意のPHPコードをプラグインやテーマのファイルに書き込ませることが可能でした。
対策版(1.2.9.3)では、ファイル保存処理の前にnonce検証が追加され、正規の編集画面からのリクエスト以外は拒否されるようになっています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.2.9.3 以降)へ更新してください。
- 被害確認
- プラグインおよびテーマのファイルが不正に改ざんされていないか確認してください。
WordPress管理画面の「プラグイン」→「プラグインファイルエディター」、および「外観」→「テーマファイルエディター」から、各ファイルに不審なコードが追加されていないか確認できます。 - 特に、ファイルの先頭や末尾に見覚えのないPHPコードが挿入されていないか注意してください(不正コードには
evalやbase64_decodeなどの関数が含まれることがあります)。 - サーバーにアクセスできる場合は、プラグインディレクトリやテーマディレクトリ内のPHPファイルについて、最終更新日時が意図しない時期に変更されていないかも合わせて確認してください。
- 不審な改ざんが確認された場合は、該当ファイルをバックアップや公式配布版から復元してください。
- プラグインおよびテーマのファイルが不正に改ざんされていないか確認してください。
- 追加のセキュリティ対策
- 管理画面での作業終了後は、必ずログアウトする運用を徹底してください。
- ログイン状態のまま他のサイトを閲覧すると、本脆弱性を悪用されるリスクが高まります。
⇒不審なファイル改ざんが確認された場合は、サーバー全体への影響調査を含め、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
WP Editor 1.2.9.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3772 
(公開日 2026年5月1日 更新日 2026年5月1日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3772 悪用確率 0.02% (上位93%) 2026年5月22日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Editor プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
