WordPressで複数の販売者による総合ショップサイト(マルチベンダーマーケットプレイス)を構築するプラグイン「Dokan Pro」のバージョン4.0.5以下で、重大なセキュリティ脆弱性が発見されました。
この脆弱性により、販売業者権限を持つ攻撃者が、サイト管理者のパスワードを変更してアカウントを乗っ取ることが可能です。Dokan Proでは容易に販売業者登録ができる機能があるため、外部の攻撃者でも販売業者権限を取得して悪用する恐れがあります。対策バージョン 4.0.6 以降への更新を推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・サイト管理者権限の完全な乗っ取り - 攻撃者が管理者アカウントのパスワードを変更し、アクセスを奪取 - サイト全体の設定やコンテンツが攻撃者により自由に変更される - 全ての利用者データや販売業者情報への不正アクセス ・マーケットプレイス運営の破綻 - 商品情報や注文データの改ざん・削除 - 決済情報や顧客の個人情報が漏洩する可能性 - 偽の商品ページや詐欺的な販売業者ページの作成 - 販売業者への不正な手数料設定やアカウント停止 ・悪意のあるコンテンツによる二次被害 - サイトに悪意のあるプラグインやテーマがアップロードされる - 訪問者のコンピューターにマルウェアが感染するリスク - サイトが詐欺サイトへの誘導拠点として悪用される |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題により発生します (1) スタッフ作成機能における権限検証の不備 ・販売業者が店舗スタッフを作成する際、どの販売業者に所属させるかを示す「vendor_id」の検証が不十分 ・攻撃者が自分以外の販売業者ID(管理者のIDを含む)を指定してスタッフを作成可能 ・本来は自分の店舗のスタッフのみ作成できるべき機能が、任意の販売業者のスタッフを作成できる状態 (2) ユーザー識別機能の設計上の欠陥 ・スタッフユーザーでログインした際、システムがスタッフ本人ではなく所属販売業者を「現在のユーザー」として認識 ・この機能により、スタッフの操作が所属販売業者の操作として処理される ・攻撃者が管理者を「所属販売業者」に設定したスタッフでログインすると、管理者として扱われる (3) 販売業者登録の容易さ ・Dokan Proはデフォルト設定で一般顧客が販売業者登録可能 ・攻撃者が正規の手順で販売業者権限を取得し、その後悪用することが可能 |
| 脆弱性の種類 | CWE-269 不適切な権限管理 |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの更新 ・プラグインを対策バージョン(4.0.6以降)に更新 (2) 緊急対応 ・管理者パスワードの変更:念のため管理者アカウントのパスワードを変更 (3) 被害確認 ・管理者アカウントの確認 - 管理者アカウントに身に覚えのないログイン履歴がないか - 管理者権限で作成された不審な投稿やページがないか - インストール済みプラグインに見覚えのないものがないか ・販売業者・スタッフアカウントの確認 - 不審な販売業者登録やスタッフ作成がないか - 短期間での大量の販売業者・スタッフ登録 - 商品や注文データに異常な変更がないか ・サイトファイルの確認 - wp-content/uploads/フォルダに不審なファイルがないか - テーマやプラグインファイルが改ざんされていないか (4) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・バックアップの実施:定期的なサイトバックアップ ・セキュリティプラグインの導入:WordPressセキュリティプラグインの利用 ・アクセス制限:管理画面への不正アクセス対策 ⇒不審なアクティビティが確認された場合や、サイトに異常な動作が見られる場合は、レンタルサーバー会社のサポートやWordPressの専門家への相談をお勧めします。 |
| 影響を受けるバージョン | Dokan Pro 4.0.6 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-5931 / RESERVED(2025/08/26時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.8 (重大) [Wordfence] |
参考
Dokan Pro <= 4.0.5 – Authenticated (Vendor+) Privilege Escalation
15,000 WordPress Sites Affected by Privilege Escalation Vulnerability in Dokan Pro WordPress Plugin
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Dokan Pro プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン Dokan 情報
| 最新版 バージョン | 4.0.5 |
|---|---|
| 対象 WordPress バージョン | 6.6 またはそれ以降 検証済み最新バージョン :6.8.2 |
| 有効インストール数 | 50,000+ |
| プラグイン ページ | Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy – WordPress プラグイン | WordPress.org 日本語 |
