WordPressでイベント管理・チケット販売を行うプラグイン「WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce」のバージョン 3.1.50 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない攻撃者でも「organizer_name」パラメータを通じて悪意のあるスクリプトをサイトに埋め込むことが可能となっています。埋め込まれたスクリプトは訪問者がページを閲覧するたびに実行されるため、継続的な被害のリスクがあります。対策バージョン 3.1.51 以降への更新を推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・個人情報の盗取 - ログイン情報(ID・パスワード)が攻撃者に送信される - 管理者権限が乗っ取られ、サイト全体が制御される - 顧客の個人情報やチケット購入情報が漏洩する可能性 ・サイト改ざん・不正利用 - イベントページに偽の決済画面が表示される - 訪問者が詐欺サイトに誘導される - サイトがマルウェア配布に悪用される ・継続的な被害 - 一度埋め込まれたスクリプトは更新するまで残り続ける - イベントページを見る全ての訪問者に影響 - 気づかないうちに長期間被害が拡大する可能性 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) イベント主催者名の入力処理の不備 ・イベント作成時に「organizer_name」パラメータを通じて、悪意のあるスクリプトを注入可能 ・入力内容に対するサニタイゼーション(無害化処理)が不十分 ・HTMLタグやJavaScriptコードが、そのままデータベースに保存されてしまう (2) 表示時の出力エスケープ処理の不備 ・保存されたイベント主催者名をページに表示する際の安全処理が不適切 ・修正前は「esc_js()」を使用していたが、HTMLとして表示するには「esc_html()」が適切 ・DOMPurifyライブラリなどによる追加のコンテンツ浄化処理が実装されていない (3) 認証不要での攻撃実行 ・WordPressにログインしていない状態でも攻撃が実行可能 ・イベント投稿機能が外部からの入力を制限なく受け付けている ・誰でもイベント主催者名に悪意のあるコードを埋め込み可能 |
| 脆弱性の種類 | CWE-79 クロスサイトスクリプティング |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの更新 ・プラグインを対策バージョン(3.1.51以降)に更新 (2) 被害確認 ・イベントページの確認 - 既存のイベントページで不審な動作がないか確認 - イベント主催者名に異常な記述がないかチェック - ページ表示時にポップアップや警告が出ないか確認 ・アクセスログの確認 - イベント投稿機能への不審なアクセスの有無 - 「organizer_name」パラメータを含む異常なリクエスト - 短時間での大量のイベント作成アクセス ・データベースの確認 - 不審なイベントデータの有無 - イベント主催者名にHTMLタグやスクリプトが含まれていないか - 身に覚えのないイベントが作成されていないか (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・セキュリティプラグインの導入:WordPressセキュリティプラグインの利用 ・バックアップの実施:定期的なサイトバックアップ ・入力制限の強化:イベント投稿権限の見直し ⇒サイトに異常な動作が見られる場合や、不審なイベントが作成されている場合は、レンタルサーバー会社のサポートやWordPressの専門家への相談をお勧めします。 |
| 影響を受けるバージョン | WP Event Manager 3.1.50 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-2800 / RESERVED(2025/07/16時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.2 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
HT Contact Form プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン WP Event Manager 情報
| 最新版 バージョン | 3.1.51 |
|---|---|
| 対象 WordPress バージョン | 5.4.1 またはそれ以降 検証済み最新バージョン :6.6.2 |
| 有効インストール数 | 30,000+ |
| プラグイン ページ | WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce – WordPress プラグイン | WordPress.org 日本語 |
