WordPressサイトのアクセス解析を行うプラグイン「WP Statistics – Simple, privacy-friendly Google Analytics alternative」のバージョン 14.15.4 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトにアクセスした攻撃者が、ブラウザ情報(User-Agent)を細工することで悪意のあるスクリプトを統計データに埋め込むことが可能となっています。埋め込まれたスクリプトは管理者が統計ページを確認する際に実行されるため、管理者権限への攻撃リスクがあります。対策バージョン 14.15.5 以降への更新を推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます 管理者アカウントへの攻撃 - 管理画面の統計ページ閲覧した際にスクリプトが実行される - 管理者のセッション情報が攻撃者に送信される可能性 - 管理者権限で不正な操作が実行されるリスク 統計データの汚染 - 正常なアクセス統計に悪意のあるデータが混入 - 統計ページが正常に表示されなくなる - 複数の管理者が影響を受ける可能性 継続的な被害 - 一度統計データに保存されたスクリプトは削除されるまで残存 - 管理者が統計ページを見るたびに攻撃が実行される - 気づかないうちに複数回攻撃を受ける可能性 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) アクセス情報の収集処理 ・サイト訪問者のブラウザ情報(User-Agent)を統計データとして自動収集 ・収集時に悪意のあるコードを含む情報でも、そのままデータベースに保存 ・ログイン不要でサイトにアクセスするだけで統計データに記録される (2) 統計画面での表示処理の不備 ・デバイスモデル統計ページでデータを表示する際のエスケープ処理が不十分 ・HTML属性(title属性)への出力時に esc_attr()関数が使用されていない・HTML要素内への出力時に esc_html()関数が使用されていない(3) 管理画面での実行 ・統計データは管理画面でのみ表示されるため、主に管理者が標的となる ・管理者権限での操作が可能になるため、影響範囲が大きい ・統計ページを開くだけで自動的にスクリプトが実行される |
| 脆弱性の種類 | CWE-79 クロスサイトスクリプティング |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの更新 ・プラグインを対策バージョン(14.15.5以降)に速やかに更新 (2) 被害確認 ・統計ページの確認 - 管理画面の統計→デバイス→モデル ページで異常な表示がないか確認 - ページ表示時に予期しないポップアップや動作がないか確認 - デバイスモデル名に不審な文字列が含まれていないか確認 ・アクセスログの確認 - 異常なUser-Agent文字列でのアクセスの有無 - 短時間での同一IPからの大量アクセス - HTMLタグやスクリプトを含むUser-Agentでのアクセス ・データベースの確認 - 統計データテーブルに不審なデバイスモデル名がないか - HTMLタグやJavaScriptコードが含まれたレコードの有無 - 異常に長いデバイスモデル名の確認 (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・管理画面へのアクセス制限:IPアドレス制限の設定 ・二要素認証の導入:管理者アカウントのセキュリティ強化 ・WAFの導入:不正なUser-Agentをブロック ⇒統計ページで異常な動作が見られる場合や、不審なデバイス情報が記録されている場合は、WordPressの専門家などへの相談をお勧めします。 |
| 影響を受けるバージョン | WP Statistics 14.15.4 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-9816 / 2025/09/27時点 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.2 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WP Statistics プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン My WP Translate 情報
| 最新版 バージョン | 14.15.5 |
|---|---|
| 対象 WordPress バージョン | 5.3 またはそれ以降 検証済み最新バージョン :6.8.2 |
| 有効インストール数 | 600,000+ |
| プラグイン ページ | WP Statistics – Simple, privacy-friendly Google Analytics alternative – WordPress プラグイン | WordPress.org 日本語 |
