WordPressで翻訳ファイルの編集・管理を行うプラグイン「Loco Translate」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.8.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、翻訳編集権限を持つユーザーにより、本来アクセスできないサーバー上のファイルの内容を読み取られる可能性があります。
対策として、バージョン 2.8.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、翻訳元のソースコードを参照する機能において、指定されたファイルの場所(パス)が翻訳対象のフォルダ内にあるかを検証していなかった点に起因します。
そのため、翻訳編集者(Translator)ロール以上の権限を持つユーザーが、ファイルの場所の指定方法を細工することで、本来の範囲外のファイルにアクセスできる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバー上のファイル内容の漏洩
- 翻訳フォルダの外にある .php / .js / .json / .twig ファイルの読み取り
- これらのファイルに含まれるデータベース接続情報やAPIキーなどの機密情報の漏洩
※ wp-config.php はファイル名チェックにより読み取りの対象外です。
被害発生の条件
以下の条件がすべてそろった場合に、被害が発生する可能性があります。
- 攻撃者がWordPressにログイン可能で、翻訳編集権限(翻訳編集者ロール以上、またはプラグイン独自の管理権限「loco_admin」)を保持していること
- プラグインのソース参照機能に対して、細工したリクエストを送信できること
※ 未認証の第三者や、購読者レベルのユーザーには悪用できません。
技術的な詳細
本プラグインには、翻訳作業中に原文が書かれたソースコードの場所を表示する機能があります。この機能は、リクエストで指定されたファイルの場所をたどって該当ファイルを見つけ出します。
その際、ファイルの場所に上位フォルダへの移動を示す文字列が含まれていると、翻訳対象のフォルダを起点として、本来の範囲外にあるファイルとして解決される場合がありました。
修正前は、解決後のファイルがWordPressのインストールフォルダ内にあるかどうかを検証しておらず、ファイル名が「wp-config.php」でないことだけを確認していました。そのため、許可された拡張子を持つファイルであれば、翻訳フォルダ外のファイルも読み取ることが可能でした。
対策版(2.8.3)では、ファイルの所在がWordPressのインストール範囲内であることの確認処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.8.3 以降)へ更新してください。
- 被害確認
- 本脆弱性の悪用には翻訳編集権限が必要です。WordPress管理画面の「ユーザー」メニューより、翻訳編集者(Translator)ロールやプラグイン独自の管理権限(loco_admin)を持つユーザーの一覧を確認し、
心当たりのないアカウントが存在しないか確認してください。 - Webサーバーのアクセスログにおいて、Loco Translateのデータ受付用URLへの不審なリクエストが記録されていないか確認してください。
特に、ファイルの場所に上位フォルダへの移動を示す文字列を含むリクエストが繰り返されている場合は、悪用が試みられた可能性があります。
- 本脆弱性の悪用には翻訳編集権限が必要です。WordPress管理画面の「ユーザー」メニューより、翻訳編集者(Translator)ロールやプラグイン独自の管理権限(loco_admin)を持つユーザーの一覧を確認し、
⇒不審なアクセスが確認された場合は、読み取られた可能性のあるファイルに含まれる認証情報(APIキー、データベースパスワード等)の変更を推奨します。
影響を受けるバージョン
Loco Translate 2.8.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1921 
(公開日 2026年5月5日 更新日 2026年5月6日)
脆弱性の深刻度 (CVSS v3)
基本値: 4.9 (警告) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1921 悪用確率 0.29% (上位48%) 2026年5月19日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Loco Translate プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
