WordPressでX(旧Twitter)のフィード表示を行うプラグイン「Custom Twitter Feeds」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.5.4 までのすべてのバージョンです。
本脆弱性を悪用された場合、攻撃者がX(旧Twitter)上に投稿した不正なデータがフィードに取り込まれることで、サイト閲覧者のブラウザ上で悪意のあるプログラム(スクリプト)が実行される可能性があります。
対策として、バージョン 2.5.5 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、X(旧Twitter)から取得した投稿テキストをサイト上に表示する際の処理に不備があったことに起因します。
その結果、不正なプログラムを含む投稿データがプラグインの一時保存データ(キャッシュ)に保存された場合、フィードを閲覧したユーザーのブラウザ上でそのプログラムが実行される可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サイト閲覧者への影響
- フィードが表示されるページを閲覧した際、ブラウザ上で不正なプログラムが実行される
- 偽のコンテンツの表示やフィッシングサイトへの誘導が行われる
サイト管理者への影響
- 管理画面のカスタマイザーやプレビューでフィードを確認した場合にも、同様にプログラムが実行される
- 管理者のログイン状態を保つための情報が窃取され、不正に利用される
被害が続く仕組み
不正なデータはプラグインの一時保存データ(キャッシュ)に保存されるため、一度取り込まれると、キャッシュが更新されるまでの間、ページを閲覧するすべてのユーザーに影響が及ぶ可能性があります。
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- プラグインのフィード設定により、攻撃者の投稿がサイトのフィードに取り込まれる状態であること
- 閲覧者がフィードの表示されたページにアクセスすること(ログインは不要)
技術的な詳細
(やや専門的な内容です)
本プラグインは、X(旧Twitter)から取得した投稿テキストをキャッシュとして保存し、フィード表示時にHTMLを生成しています。
投稿テキストの出力処理では、改行タグへの変換のみが行われ、HTMLタグやJavaScriptコードを安全な形に変換する処理(エスケープ処理)が実装されていませんでした。
また、フィードの追加読み込み処理(いわゆる「もっと読む」ボタン)は、ログインしていないユーザーからのリクエストにも応答する設定となっていたため、サイトの訪問者であれば誰でも、安全性が確認されていないキャッシュデータを含むHTMLを受け取る状態でした。
対策版では、出力時に危険な内容を取り除く処理が追加され、許可されていないHTMLタグやプログラムコードが除去されるようになっています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.5.5 以降)へ更新してください。
- キャッシュの削除
- プラグインの更新後、プラグインの設定画面よりフィードのキャッシュを手動で削除してください(設定画面の構成はバージョンにより異なる場合があります)。
- キャッシュに不正なデータが残っている場合、更新後もプログラムが実行される可能性があるため、必ず実施してください。
- 被害確認
- フィードが表示されるページをブラウザで開き、ページのHTMLソースを確認してください。
フィードの投稿テキスト部分に、不正なプログラムコードや身に覚えのないHTML要素が含まれていないか確認してください。
(該当箇所はHTMLソース内で「ctf-tweet-text」というクラス名を検索すると特定できます) - 不審な内容が確認された場合は、プラグインを一時的に停止し、キャッシュを削除したうえで再度有効化してください。
- フィードが表示されるページをブラウザで開き、ページのHTMLソースを確認してください。
⇒不審なプログラムの実行や、意図しないページ遷移等が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Custom Twitter Feeds 2.5.4 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-6177 
/ RESERVED(2026年5月13日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
参考
Custom Twitter Feeds <= 2.5.4 – Unauthenticated Stored Cross-Site Scripting via Cached Tweet Text
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Custom Twitter Feeds プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
