
WooCommerceに独自の決済方法を追加できるプラグイン「Custom Payment Gateways for WooCommerce」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.1.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者が注文(購入手続き)を送信することを通じて、サイト管理者などが注文情報を表示した際に、そのブラウザ上で悪意のあるプログラム(スクリプト)が実行される可能性があります。
対策として、バージョン 2.2.0 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、購入手続き(チェックアウト)で送信された決済用の入力項目を、注文情報として保存・表示する処理の一部に、安全対策が不足していたことに起因します。
そのため、攻撃者が細工した内容を注文送信時に紛れ込ませ、後で表示された際にブラウザ上で不正なプログラムとして実行させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(保存された不正プログラムによる被害)
攻撃者が注文送信時に埋め込んだプログラムがサイト内に保存され、管理者が注文の編集画面などを表示した際に、管理者のブラウザ上で実行される可能性があります。管理画面上で実行されるため、管理者のログイン情報が悪用されるおそれがあります。
被害発生の条件
- 攻撃者が、細工した内容を含む注文送信のリクエストを送る(ログインは不要)
- 管理者などが、その注文の情報を画面に表示する
なお、プラグイン側で決済用の入力項目をあらかじめ設定していない場合でも、影響を受ける可能性があります。
技術的な詳細
購入手続きで送信された決済用の入力項目は、「項目名」と「入力値」の組み合わせとして注文情報に保存されます。
対策前のバージョンでは、このうち「入力値」側にはタグを取り除く処理が行われていました。一方、「項目名」側にはこうした処理が行われていませんでした。項目名は送信内容の中で自由に指定できるため、ここに不正なコードを紛れ込ませることが可能でした。
さらに、保存した内容を注文の編集画面やメールなどに表示する処理でも、
安全な形式へ変換する処理が行われずにそのまま出力していました。
対策版では、項目名にも無害化の処理が加えられ、表示時にも許可されたタグ以外を取り除く処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.2.0 以降)へ更新してください。
- 被害の確認
- 本脆弱性で埋め込まれる不正な内容は、注文情報の「決済ゲートウェイ入力項目(Payment gateway input fields)」の項目名として保存されます。WooCommerceの「注文」から各注文の編集画面を開き、この欄の項目名に、通常は使われない記号(
<や>を含むタグのような記述など)が含まれていないか確認してください。 - 不審な項目を含む注文が見つかった場合は、内容をクリックせず、更新(2.2.0以降)を先に適用したうえで対応してください。
- 本脆弱性で埋め込まれる不正な内容は、注文情報の「決済ゲートウェイ入力項目(Payment gateway input fields)」の項目名として保存されます。WooCommerceの「注文」から各注文の編集画面を開き、この欄の項目名に、通常は使われない記号(
- セキュリティ対策の強化(任意)
- WAF(Webアプリケーションファイアウォール/不正なリクエストを遮断する仕組み)は、攻撃メッセージの送信を遮断する対策として有効です。
⇒不審な注文や管理者の意図しない挙動が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Custom Payment Gateways for WooCommerce 2.1.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-7517
(公開日 2026年7月1日 更新日 2026年7月1日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2026 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2026 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ

WordPress
Custom Payment Gateways for WooCommerce プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。



