WordPressでユーザープロフィールやグループ機能を提供するプラグイン「ProfileGrid – User Profiles, Groups and Communities」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.9.8.4 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの一般ユーザーが、本来参加できないグループに不正に参加できる可能性があります。
対策として、バージョン 5.9.8.5 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、グループへのユーザー招待を処理する機能において、操作者がそのグループを管理する権限を持っているかの確認が行われていなかったことに起因します。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
グループの不正参加に関する影響
- サイトに登録済みの一般ユーザー(購読者など、閲覧権限のみを持つユーザー)が、管理者やグループリーダーの承認なく、任意のグループへ自分自身を参加させられる
- 非公開グループや有料グループへの不正参加による、限定コンテンツへの不正アクセスや参加制限のすり抜け
- 他の登録ユーザーを任意のグループへ不正に追加することによる、グループメンバー構成の意図しない変更
被害発生の条件
- 攻撃者がWordPressサイトにユーザー登録済み(購読者レベル以上)であること
- 管理者やユーザーの操作は不要で、攻撃者が直接操作を行うだけで成立する
技術的な詳細
本脆弱性には、2つの問題が含まれています。
1つ目は、グループ招待機能において、操作者の権限を確認する処理が実装されていなかった点です。
本来は管理者・グループマネージャーやグループリーダー(グループ管理の権限を持つユーザー)のいずれかであることを確認したうえで招待処理を実行すべきですが、この確認が欠落していたため、一般ユーザーでも招待処理を実行できる状態でした。
2つ目は、グループへの自動参加処理において、グループの種別(公開・非公開)や有料設定が確認されていなかった点です。
修正前のプラグインではグループ種別を確認せず自動参加処理を実行していたため、グループに設定された参加条件が機能しない状態でした。
対策版では、グループ種別と有料設定を確認し、公開かつ無料のグループに限って自動参加を許可するよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.9.8.5 以降)へ更新してください。
- 被害確認
- WordPress管理画面から ProfileGrid のグループ管理画面を開き、
各グループのメンバー一覧に意図しないユーザーが追加されていないか確認してください。 - 特に、非公開グループや有料グループのメンバー構成を優先的に確認してください。
- 身に覚えのないメンバーが確認された場合は、該当ユーザーをグループから削除してください。
- WordPress管理画面から ProfileGrid のグループ管理画面を開き、
⇒不審なグループメンバーが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
ProfileGrid – User Profiles, Groups and Communities 5.9.8.4 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4609 
/ RESERVED(2026年5月13日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
ProfileGrid プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
