WordPressでStripe決済フォームを提供するプラグイン「Stripe Payment Forms by WP Full Pay – Accept Credit Card Payments, Donations & Subscriptions」のバージョン 8.3.1 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない第三者がサイトのデータベースに保存されている情報を不正に取得できる可能性があります。対策バージョン 8.3.2 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- データベース情報の不正取得
- 管理者アカウント情報(ユーザー名、メールアドレス、パスワードの暗号化データ)
- 顧客情報(Stripe決済に関連する個人情報、メールアドレス、支払い履歴など)
- 決済フォームの設定情報
- データベースレコードの不正削除
- 決済フォームやサブスクリプション設定の削除
- 支払い履歴や寄付記録の削除
- ログ情報の削除
- 被害発生の条件
- 攻撃者がインターネット経由でサイトにアクセスできる
- ログインや特別な権限は不要(誰でも攻撃可能)
技術的な詳細
この脆弱性は、以下の問題に起因します。
- データベース操作処理での入力値検証の不備
- フォーム名やメールアドレスなど、利用者から送信された値をデータベース検索文に組み込む際、値の安全性確認が不十分だった
- 入力値が引用符で囲まれて直接データベース検索文に連結されており、エスケープ処理がなされていなかった
- 複数の処理(フォーム情報の取得、顧客情報の検索、決済履歴の検索、各種データの削除)で同様の問題が確認された
- 修正内容
- WordPress標準の安全なデータベース操作関数を使用するように変更
- パラメータの自動エスケープと型変換が行われるようになった
- 攻撃の流れ(概要)
- 攻撃者が決済フォーム関連の機能に対して、特別に細工したパラメータを送信
- 不正なパラメータがデータベース検索文に組み込まれる
- データベースから脆弱性を利用して機密情報を抽出
- 複数回のリクエストを通じて、段階的に情報を取得
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- プラグインを対策バージョン(8.3.2以降)に速やかに更新してください
- 被害確認
- WordPress管理画面の「ユーザー」メニューから、見覚えのない管理者権限のユーザーが追加されていないか確認
- サーバーのアクセスログに不審な大量アクセスや異常なリクエストがないか確認
- 決済フォーム設定やサブスクリプション設定、支払い履歴に意図しない削除や変更がないか確認
- 追加のセキュリティ対策
- 管理者パスワードの変更
不正アクセスが疑われる場合は、管理者アカウントのパスワードを変更してください - 定期的なプラグイン更新
セキュリティ更新を見逃さないよう、定期的にプラグインの更新状況を確認してください
- 管理者パスワードの変更
⇒不審なアクセスや被害の形跡が見られる場合は、WordPressの専門家やセキュリティ事業者への相談をお勧めします。
影響を受けるバージョン
Stripe Payment Forms by WP Full Pay 8.3.1 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-9322 
(公開日 2025年10月25日 更新日 2025年10月25日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-9322 悪用確率 0.06% (上位80%) 2025年10月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Stripe Payment Forms by WP Full Pay プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
