WordPressで見積もり計算機能を提供するプラグイン「Cost Calculator Builder」のバージョン 3.5.32 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、本来は管理者のみが実行できる注文管理機能にアクセスし、注文情報の閲覧や注文ステータスの変更が可能となっています。対策バージョン 3.5.33 以降への更新を推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・注文情報の不正閲覧 - サイト内の全注文情報が閲覧される - 顧客のメールアドレスが取得される - 注文内容、金額、決済方法などの情報が漏洩する - アップロードされたファイル情報が取得される ・注文データの改ざん - 注文ステータスが不正に変更される - 未払いの注文を「完了」状態に変更し、商品・サービスを不正入手される - 正規の注文をキャンセル状態に変更され、業務が混乱する - 決済ステータスが改ざんされ、売上管理が困難になる ・ビジネスへの影響 - 顧客情報の漏洩による信用失墜 - 注文管理の混乱による業務停止 - 不正な注文完了による経済的損失 - 個人情報保護法違反のリスク |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) 注文情報取得機能の権限チェック不備 ・ get_cc_orders関数に管理者権限の確認処理が実装されていない・修正前はnonce検証のみで、ユーザー権限の検証が存在しない ・サイトに登録済みの低権限ユーザーでも全注文データにアクセス可能 ・取得される情報には、顧客メールアドレス、注文詳細、金額、決済情報などが含まれる (2) 注文ステータス更新機能の権限チェック不備 ・ update_order_status関数に管理者権限の確認処理が実装されていない・修正前はnonce検証のみで、ユーザー権限の検証が存在しない ・サイトに登録済みの低権限ユーザーでも注文ステータスと決済ステータスを変更可能 ・任意の注文状態を変更できる状態 (3) 対策内容 ・修正版では、両機能による管理者権限チェックを追加 ・管理者権限を持たないユーザーがアクセスした場合、エラーメッセージを返して処理を拒否 ・これにより、本来の権限設計通り管理者のみが注文管理機能を利用可能に |
| 脆弱性の種類 | CWE-862 認証の欠如 |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します: (1) プラグインの更新 ・プラグインを対策バージョン(3.5.33以降)に更新 (2) 被害確認 ・注文データの確認 - 注文ステータスに不自然な変更がないか確認 - 未払いのまま「完了」になっている注文がないか確認 - 身に覚えのない注文キャンセルがないか確認 ・ユーザーアカウントの確認 - 不審なユーザー登録がないか確認 - 購読者レベルのユーザーアカウントに不審な動きがないか確認 ・アクセスログの確認 - get_cc_ordersやupdate_order_statusへのアクセス記録- 管理者以外のユーザーによる注文管理機能へのアクセス - 短時間での大量の注文ステータス変更 (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・ユーザー権限の見直し:不要なユーザーアカウントの削除 ・セキュリティプラグインの導入:WordPressセキュリティプラグインの利用 ・バックアップの実施:定期的なサイトとデータベースのバックアップ ・監視体制の強化:注文データの定期的な確認 ⇒注文データに不審な変更が見られる場合や、顧客から問い合わせがある場合は、WordPressの専門家やセキュリティ専門家への相談をお勧めします。 |
| 影響を受けるバージョン | Cost Calculator Builder 3.5.32 までのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-9243 / 2025/10/04 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.1 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Cost Calculator Builder プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン TextBuilder 情報
| 最新版 バージョン | 3.5.33 |
|---|---|
| 対象 WordPress バージョン | 6.2 またはそれ以降 検証済み最新バージョン : 6.8.3 |
| 有効インストール数 | 30,000+ |
| プラグイン ページ | Cost Calculator Builder – WordPress プラグイン | WordPress.org 日本語 |
