WordPressの操作履歴を記録・監査するプラグイン「Simple History – Track, Log, and Audit WordPress Changes」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.26.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトに登録済みの低権限ユーザー(購読者レベル)によって、管理者アカウントが乗っ取られる可能性があります。
対策として、バージョン 5.27.0 以降への更新を推奨します。
なお、本脆弱性の影響を受けるのは、操作履歴に「いいね」を付けるリアクション機能を有効にしているサイトに限られます。
脆弱性詳細
本脆弱性は、操作履歴に「リアクション(いいね)」を付けたり取り消したりする機能(API:外部のプログラムから操作を呼び出す仕組み)において、利用者のアクセス権限の確認が不十分だったことに起因します。
想定される被害
この脆弱性が悪用された場合、以下の被害が想定されます。
権限を超えた操作履歴の閲覧
- 本来は管理者などだけが見られる操作履歴の内容(操作したユーザー名、メールアドレス、アクセス元のIPアドレス、操作内容など)を、低権限の利用者が読み取る
管理者アカウントの乗っ取り
- 操作履歴に記録されるパスワード再設定用リンク(パスワードを変更できる一度きりの鍵を含むURL)を読み取られ、管理者のパスワードを変更されてアカウントを乗っ取られる
被害発生の条件
次の2つがそろうと、権限外の操作履歴を読み取られる可能性があります。
- 操作履歴に「いいね」を付けるリアクション機能が有効になっている
- 攻撃者がサイトにログインできる低権限アカウントを持っている
さらに、管理者アカウントの乗っ取りに至るのは、標準のWordPressのパスワード再設定が使われている場合です(WooCommerceなど独自の再設定機能では、再設定用リンクは履歴に記録されないため、この経路での乗っ取りは起きません)。
技術的な詳細
Simple History は通常、利用者の権限に応じて、閲覧できる操作履歴の範囲を制限しています。パスワード再設定のような重要な記録は、本来、管理者だけが閲覧できます。
しかしこのリアクション機能では、アクセス時に「ログイン済みか」だけを確認し、「その利用者が対象の履歴を閲覧してよいか」という確認を行っていませんでした。
このため低権限の利用者でも、本来見られない履歴に対して操作でき、さらに応答に履歴の詳細を含めるよう求めることで、記録された内容を読み取ることが可能でした。
想定される悪用の流れ(概要・具体値は伏せています)
- 攻撃者が、管理者のパスワード再設定を発動させる(操作履歴に再設定用リンクが記録される)
- ログイン状態のまま、このリアクション機能を通じて履歴を次々に問い合わせ、再設定用リンクを含む履歴を読み取る
- 読み取った再設定用リンクを使って管理者のパスワードを変更し、アカウントを乗っ取る
対策版(5.27.0)では、操作対象の履歴を実際に閲覧できる権限があるかを確認する処理が追加され、権限のない履歴には操作・閲覧できないよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.27.0 以降)へ更新してください。これが最も確実な対策です。
- 被害確認
- まず、操作履歴に「いいね」を付けるリアクション機能を有効にしているか確認してください。
無効であれば、本脆弱性の影響は受けません。 - 有効にしていた場合は、次の点を確認してください。
・管理者のパスワードが、本人の操作によらず変更された形跡がないか
・「ユーザー」メニューに、身に覚えのない管理者権限のアカウントが追加されていないか
・Simple History のログに、心当たりのない「パスワード再設定リンクの要求」に関する記録がないか(「パスワード」「再設定」などで履歴を検索すると見つけやすい) - 不審な点があれば、該当アカウントのパスワードを変更し、不要なアカウントを削除してください。
- まず、操作履歴に「いいね」を付けるリアクション機能を有効にしているか確認してください。
- 追加のセキュリティ対策
- リアクション機能を利用していない場合は、有効にしないでください。これにより、本脆弱性の攻撃対象となる機能自体が動作せず、リスクを取り除けます。
⇒不審な管理者アカウントや、意図しないパスワード変更が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Simple History – Track, Log, and Audit WordPress Changes 5.26.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-7459 
(公開日 2026年5月30日 更新日 2026年5月30日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-7459 悪用確率 0.06% (上位81%) 2026年5月30日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Simple History プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
