WordPressでGoogleアナリティクスの連携・管理を行うプラグイン「MonsterInsights – Google Analytics Dashboard for WordPress」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 10.1.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル)によって、Google連携に関する機密情報の取得や設定の改ざんが行われる可能性があります。
対策として、バージョン 10.1.3 以降への更新を推奨します。
脆弱性詳細
本プラグインのGoogle Ads連携に関する一部の処理において、操作を実行するユーザーが適切な管理権限を持っているかどうかの確認が行われていませんでした。そのため、サイトに登録済みの低権限ユーザーであっても、本来アクセスできないGoogle連携の機能を実行できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
Google認証トークンの漏洩
- 低権限ユーザーが、サイト管理者のGoogle連携用の認証トークン(Googleサービスへのアクセスに使用される認証情報)を取得
- 取得した認証トークンにより、Google Adsの広告データなど本来アクセスできない情報の閲覧
Google Ads連携設定のリセット
- 低権限ユーザーが、管理者の設定したGoogle Ads連携を解除
- 広告コンバージョンの計測停止など、運用面への影響
被害発生の条件
以下の条件を満たす場合に、被害が発生する可能性があります。
- 攻撃者がWordPressに購読者レベル以上のユーザーとしてログインできること
- 管理者側の操作やクリックは不要(攻撃者が自らリクエストを送信するだけで成立)
技術的な詳細
プラグインでは、管理画面からの操作が正当なものかを確認するためのトークン(nonce)を使用しています。WordPressの仕様上、nonceは「ログイン済みユーザーからのリクエストであること」を保証しますが、「そのユーザーに操作権限があるか」までは確認しません。そのため、nonceの検証とは別に、ユーザーの権限チェックを実装する必要があります。
Google Ads連携に関しては5つの処理が用意されています。このうち、設定の更新・取得・コンバージョン確認の3つには、nonceの検証に加えてユーザーの管理権限チェックが正しく実装されていました。
しかし、残る2つの処理——認証トークンの取得と連携設定のリセット——では、nonceの検証のみで権限の確認が行われていませんでした。そのため、購読者レベルのユーザーでも、自身のnonceを使ってこれらの処理を実行できる状態となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(10.1.3 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない購読者アカウントや不審なユーザーが登録されていないか確認してください。
- MonsterInsightsの設定画面で、Google Ads連携が意図せず解除されていないか確認してください。
連携が外れている場合、攻撃者によるリセットが行われた可能性があります。 - Googleアカウント側で、Google Adsやアナリティクスに不審なアクセス履歴がないか確認してください。
心当たりのない操作が記録されている場合は、MonsterInsightsの再認証(トークンの再発行)を行い、古いトークンを無効化してください。
⇒不審な操作やアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
MonsterInsights – Google Analytics Dashboard for WordPress 10.1.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5371 
(公開日 2026年5月12日 更新日 2026年5月13日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
MonsterInsights プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
