WordPress 6.8.2 以下に複数の脆弱性を確認

WordPress 本体（Core）のバージョン 6.8.2 以下のすべてのバージョンで、2件のセキュリティ脆弱性が発見されました。

スクリプト注入による被害
攻撃者に投稿者（Author）レベル以上の権限があれば、悪意のあるスクリプトを埋め込むことが可能です。
埋め込まれたスクリプトは、他の管理者がメニュー編集画面を開いた際に実行されます。
情報漏洩による被害
攻撃者に寄稿者（Contributor）レベル以上レベル以上の権限があれば、本来編集権限がないコンテンツの詳細情報（下書き記事の内容、メタデータ、ユーザーロール情報など）を取得することか可能です。

これらの脆弱性により、サイトに登録済みのユーザー（一定の権限を持つ場合）が、管理者への攻撃や本来アクセスできない情報の取得を行える可能性があります。WordPress 6.8.3 以降への更新を推奨します。

想定される事象

想定される被害	この脆弱性により、以下のような被害が想定されます 1. スクリプト注入による被害　・管理者セッションの乗っ取り　- メニュー編集画面を開いた管理者のセッション情報が攻撃者に送信される可能性　- 管理者権限で不正な操作が実行されるリスク　・権限昇格　- 投稿者レベルのユーザーが、管理者のセッションを利用して自身の権限を昇格させる可能性　- サイト設定の変更やプラグインのインストールなど、本来できない操作の実行　・継続的な影響　- 埋め込まれたスクリプトはメニューデータとして保存されるため、更新するまで残り続ける　- 複数の管理者が影響を受ける可能性 2. 情報漏洩による被害　・下書き記事の閲覧　- 公開前の記事内容や企業の戦略情報が漏洩する可能性　- 競合他社による情報の先取りリスク　・ユーザー情報の取得　- サイト管理者や編集者のユーザーロール情報が取得される　- アカウント構造を把握され、標的型攻撃の準備に利用される可能性　・メタデータの露出　- 通常は非公開のカスタムフィールド情報が閲覧される　- ビジネスロジックや内部構造の把握に利用される可能性
技術的な詳細	この脆弱性は、以下の問題に起因します 1. スクリプト注入の脆弱性 (1) HTMLエンティティデコード処理のタイミング不備　① メニュー項目のデコード処理が早期に実行されていたため　② デコードされたタイトルがそのままJavaScriptに渡され　③ 適切なエスケープ処理が行われず　④ スクリプトタグがそのまま実行される状態 (2) 安全でないHTML生成方法　① 修正前は文字列連結でHTMLを構築していたため　② 入力値が直接HTMLに埋め込まれ、自動エスケープが機能しないかった　③ jQueryの関数による安全なDOM要素生成に変更 (3) 影響範囲　・ナビゲーションメニューの親項目選択ドロップダウン　・メニュー項目の並び順選択ドロップダウン　・削除予定メニュー項目の一覧表示 2. 情報漏洩の脆弱性 (1) REST API の権限チェック不足　・読み取り権限のチェックは実装されていたが、編集権限のチェックが実装されていなかった　・結果として、読める権限があれば編集用の詳細情報も取得できる状態だった (2) 影響を受けるエンドポイント　・投稿一覧API（：下書き記事の詳細情報　・ユーザー一覧API：ユーザーロール情報　・タームAPI：タームの編集情報 (3) 露出する情報の例　・投稿：メタデータ、カスタムフィールド、リビジョン情報など　・ユーザー：ロール（管理者、編集者など）の情報　・ターム：詳細な分類情報
脆弱性の種類	CWE-79 クロスサイトスクリプティング CWE-201 送信データへの重要な情報の挿入
推奨対応事項	該当バージョンのWordPress Coreをご利用の場合、以下の対応を強く推奨します。 (1) WordPress Coreの更新　・WordPress 6.8.3 以降に更新してください (2) 被害確認　・スクリプト注入の確認　　- ナビゲーションメニューの確認外観 > メニューから既存メニューを確認　　- メニュー項目のタイトルに不審な記述（HTMLタグなど）がないかチェック　　- メニュー編集時に不審なポップアップや動作がないか確認　　- ユーザーアカウントの確認ユーザー一覧で、権限の変更履歴を確認　　- 意図しない管理者権限の付与がないかチェック　　- 不審なユーザーアカウントの追加がないか確認　・情報漏洩の確認　　-アクセスログの確認 `/wp-json/wp/v2/`へのアクセスで`context=edit`パラメータを含むリクエスト　　-寄稿者・投稿者レベルのユーザーからの頻繁なAPI アクセス　　-短時間での大量のREST APIリクエスト　　-下書き記事の状況確認公開前の記事が意図せず漏洩していないか　　-重要な戦略情報を含む下書きの取り扱いを見直し (3) 追加のセキュリティ対策　・定期的な更新：WordPress Core、テーマ、プラグインを常に最新版に保つ　・権限管理の見直し：投稿者・寄稿者レベルのユーザーアカウントが適切か確認　・バックアップの実施：定期的なサイトバックアップの実施　・アクティビティログの監視：ユーザー操作履歴を記録するプラグインの導入検討 ⇒サイトに異常な動作が見られる場合や、不審なアクセスが確認された場合は、WordPressの専門家やセキュリティ専門家への相談をお勧めします。
影響を受けるバージョン	WordPress Core 6.8.2 までのすべてのバージョン
脆弱性情報 (CVE-ID / 公開日)	CVE-2025-58674 / 2025/09/23 CVE-2025-58246 / 2025/09/23
脆弱性の深刻度 (CVSS v3)	基本値: 5.9 (警告) 基本値: 4.3 (警告)

参考　

WordPress 6.8.3リリース – WordPress.org 日本語
 WordPress <= 6.8.2 – Authenticated (Author+) Stored Cross-Site Scripting
WordPress <= 6.8.2 – Authenticated (Contributor+) Sensitive Information Exposure

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.