WordPressでWooCommerce商品のフィルタリング機能を提供するプラグイン「Product Filter by WBW」のバージョン 2.9.7 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない第三者がサイトのデータベースに保存されている情報を不正に取得できる可能性があります。対策バージョン 2.9.8 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- データベース情報の不正取得
- サイトのデータベースに保存されている情報が外部から取得される
- 管理者アカウント情報(ユーザー名、メールアドレス、パスワードの暗号化データ)
- 顧客情報(WooCommerceの注文データ、個人情報など)
- サイトの設定情報やAPIキーなどの機密データ
- 被害発生の条件
- 攻撃者がインターネット経由でサイトにアクセスできる
- ログインや特別な権限は不要(誰でも攻撃可能)
- 商品フィルター機能が有効になっている
技術的な詳細
この脆弱性は、以下の問題に起因します。
- データベース検索処理での入力値検証の不備
- 商品のフィルタリング処理において、利用者から送信されたフィルター条件をデータベース検索文に組み込む際、値の安全性確認が不十分だった
- 具体的には、タクソノミー(カテゴリーやタグなど)のID情報を整数値に変換する処理が欠けていた
- そのため、攻撃者が特別に細工したデータを送信すると、本来の検索文に不正な命令を追加できてしまう
- 影響を受ける処理
- 商品フィルタリング機能において、「NOT IN」条件を使用したタクソノミー絞り込み処理
- フロントエンド(一般公開ページ)で動作するため、認証なしで攻撃が可
- 攻撃の流れ(概要)
- 攻撃者が商品フィルター機能に対して、特別に細工したパラメータを送信
- 不正なパラメータがデータベース検索文に組み込まれる
- データベースから脆弱性を利用して情報を抽出
- 複数回のリクエストを通じて、段階的に機密情報を取得
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- プラグインを対策バージョン(2.9.8以降)に速やかに更新してください
- 被害確認
- WordPress管理画面の「ユーザー」メニューから、見覚えのない管理者権限のユーザーが追加されていないか確認
- サーバーのアクセスログに不審な大量アクセスや異常なリクエストがないか確認
- WooCommerceをご利用の場合、顧客データへの不正なアクセス形跡がないか確認
- 追加のセキュリティ対策
- 管理者パスワードの変更
不正アクセスが疑われる場合は、管理者アカウントのパスワードを変更してください - 定期的なプラグイン更新
セキュリティ更新を見逃さないよう、定期的にプラグインの更新状況を確認してください
- 管理者パスワードの変更
⇒不審なアクセスや被害の形跡が見られる場合は、WordPressの専門家やセキュリティ事業者への相談をお勧めします。
影響を受けるバージョン
Product Filter by WBW 2.9.7 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-8416 
(公開日 2025年10月25日 更新日 2025年10月25日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-8416 悪用確率 0.07% (上位78%) 2025年10月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Product Filter by WBW プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
