WordPressで地図表示を行うプラグイン「WP Go Maps (旧 WP Google Maps)」のバージョン 9.0.46 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、管理者がログイン中に悪意のあるWebサイトやメールのリンクをクリックすると、意図しない地図データの削除や変更が実行される可能性があります。対策バージョン 9.0.47 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます
- 地図データの破壊
- 地図上のマーカー(ピン)が一括削除される
- 重複マーカーの削除機能が悪用され、正常なマーカーまで削除される
- 復元が困難な地図データの喪失
- 地図機能の改ざん
- 地図上の図形(ポリゴン、円、線など)が勝手に作成・変更される
- 既存の地図エリアや経路情報が削除される
- 店舗や施設の位置情報が改ざんされる
- サイト運営者への影響
- 顧客向けの店舗地図が表示されなくな
- イベント会場や観光地の案内機能が破壊される
- 地図データの再作成に時間とコストが発生
技術的な詳細
この脆弱性は、以下の問題により発生します
- GETリクエストでの破壊的操作の実行
- 通常は表示のみに使用すべきGETリクエストで、データ削除処理が実行可能
- 特に「重複マーカー削除」機能が、単純なURLアクセスで実行される
- ブラウザが画像やリンクとして自動的にアクセスしてしまう
- CSRFトークンの検証不足
- REST APIへのリクエストで、正当な要求かを確認するトークン検証が不十分
- 外部サイトからの不正なリクエストを判別できない
- 管理者のログイン状態を悪用した攻撃が可能
- 権限確認の欠如
- マーカー削除などの重要な操作で、実行権限の確認が行われていない
- 管理者権限の悪用により、意図しない操作が強制実行される
- AJAXブリッジ経由での不適切なアクセス制御
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します
- プラグインの更新
- プラグインを対策バージョン(9.0.47以降)に即座に更新
- 被害確認
- 地図データの確認
- 地図上のマーカー数に大幅な減少がないか確認
- 重要な店舗や施設のマーカーが削除されていないか
- 地図の図形(エリアや経路)に異常がないか
- アクセスログの確認
/wp-admin/admin-ajax.phpへの不審なGETリクエストaction=remove-duplicatesを含むアクセスの有無- 短時間での大量の地図操作リクエスト
- データベースの確認
- マーカーテーブルのレコード数の急激な変化
- 最近削除された地図データの有無
- バックアップとの差分確認
- 地図データの確認
- 追加のセキュリティ対策
- 地図データの定期的なバックアップ
- 管理者アカウントでの不要なWebサイト閲覧を控える
- セキュリティプラグインによる不正アクセスの監視
- REST APIへのアクセス制限の強化
⇒地図データに異常が見られる場合は、バックアップからの復元を検討し、WordPressの専門家への相談をお勧めします。
影響を受けるバージョン
WP Go Maps 9.0.46 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-11166 
(公開日 2025年10月9日 更新日 2025年10月9日)
脆弱性の深刻度 (CVSS v3)
基本値: 5.4 (警告) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-11166 悪用確率 0.02% (上位97%) 2025年11月13日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
WPC Smart Wishlist for WooCommerce プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
