WordPressでフォトアルバムを管理するプラグイン「WP Photo Album Plus」のバージョン 9.0.11.006 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、アルバムの説明文に悪意のあるスクリプトを埋め込むことが可能となっています。埋め込まれたスクリプトは、そのアルバムページを閲覧した訪問者のブラウザで実行されるため、継続的な被害のリスクがあります。対策バージョン 9.0.11.007 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性は、REST APIエンドポイントの権限チェック処理が完全に欠如していたことにより発生します。
- ログイン中の訪問者の情報盗取
- アルバムページを閲覧した訪問者のセッション情報が外部に送信される
- 特に管理者が閲覧した場合、管理者権限で不正操作される
- 可能性 ログイン中の一般ユーザーのアカウント情報が窃取される
- 閲覧者への不正な操作
- アルバムページ上に偽の入力フォームが表示される
- 閲覧者が意図しない外部サイトへ誘導される
- ページ内で入力された情報が攻撃者に送信される
- 継続的な被害
- 一度埋め込まれたスクリプトはプラグイン更新まで残り続ける
- アルバムページを見る全ての訪問者に影響
- 気づかないうちに被害が継続する可能性
技術的な詳細
この脆弱性は、以下のコード処理の不備に起因します
- アルバム説明文の入力処理の不備
- アルバム作成・編集時の「説明文」フィールドに対する処理が不適切
- 修正前は
strip_tags()関数を使用し、特定のHTMLタグ(<a>,<strong>,<ul>など)のみを許可 - しかし、タグに付与される属性(
onclick,onmouseoverなどのイベントハンドラ)は制限されていなかった - そのため、許可されたタグに悪意のある属性を付けることで、スクリプトの埋め込みが可能
- 修正内容
strip_tags()から WordPressのwp_kses()関数に変更wp_kses()は、タグの種類だけでなく属性も厳密に制御wppa_allowed_simple_tags()関数により、許可するタグと属性を明示的に定義- これにより、イベントハンドラ属性などの危険な属性が確実に除去される
- 攻撃実行の条件
- サイトに登録済みのユーザー(購読者レベル以上)であれば攻撃実行が可能
- 会員登録を受け付けているサイトでは、攻撃者が容易にアカウントを取得できる
- アルバムの作成・編集権限があるユーザーが対象
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します
- プラグインの更新
- プラグインを対策バージョン(9.0.11.007以降)に即座に更新
- 被害確認
- 既存アルバムの説明文の確認
- アルバム管理画面で各アルバムの説明文を確認
- HTMLタグの属性部分に不審な記述(
onclick,onerror,onloadなど)がないかチェック - 身に覚えのないアルバムが作成されていないか確認
- ユーザー登録状況の確認
- 不審なユーザーアカウントが登録されていないか確認
- 短期間に複数のアカウントが作成されていないかチェック
- アルバムページの動作確認
- 各アルバムページを表示し、不審な動作がないか確認
- ブラウザの開発者ツールでコンソールエラーをチェック
- 既存アルバムの説明文の確認
- 追加のセキュリティ対策
- アルバム作成権限の見直し:信頼できるユーザーのみに権限を付与
- 会員登録設定の確認:必要に応じて承認制への変更を検討
⇒サイトに異常な動作が見られる場合や、不審なアルバムが作成されている場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
WP Photo Album Plus 9.0.11.006 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-8726 
(公開日 2025年10月4日 更新日 2025年10月6日)
脆弱性の深刻度 (CVSS v3)
基本値: 5.4 (警告) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-8726 悪用確率 0.03% (上位91%) 2025年11月13日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
GiveWP プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
