WordPressで寄付・募金機能を提供するプラグイン「Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More」のバージョン 1.8.8.4 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、サイトに登録済みの低権限ユーザー(購読者レベル以上)が、データベースに保存されている情報を不正に取得できる可能性があります。対策バージョン 1.8.8.5 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- データベース情報の不正取得
- 管理者アカウント情報(ユーザー名、メールアドレス、パスワードの暗号化データ)
- 寄付者情報(個人情報、寄付履歴、決済情報など)
- その他データベースに保存されている情報
- 被害発生の条件
- 攻撃者がサイトに登録済みのユーザーアカウント(購読者レベル以上)を持っている
- 攻撃者が寄付を実施している
- 攻撃者がインターネット経由でサイトにアクセスできる
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 寄付ID指定処理での入力値検証の不備
- 寄付情報を検索する処理において、寄付IDを指定するパラメータ(donation_ids)の安全性確認が不十分だった
- このパラメータはカンマ区切りで複数の寄付IDを指定できる仕様だが、各IDが正しい整数値かどうかの検証が行われていなかった
- HTMLエスケープ処理(
esc_html())のみが実施されていたが、これはSQL対策としては全く効果がない
- 具体的な問題点
- カンマ区切りで分割した配列は作成されるが、実際には使用されていなかった
- 元の文字列がそのままデータベース検索文に組み込まれていた
- 攻撃者は寄付IDの代わりに不正なSQL文を注入できる状態だった
- 影響を受ける処理
- 寄付情報の検索
- フィルタリング処理 寄付一覧の表示処理
- 修正内容
- 各寄付IDを個別に検証し、正の整数値であることを確認
- 安全なパラメータ化クエリ(プレースホルダー)を使用
- 不正な値は処理から除外
- 攻撃の流れ(概要)
- 攻撃者がサイトにアカウントで登録し、ログイン
- 攻撃者が寄付を実施
- 寄付情報を表示する機能に対して、特別に細工したパラメータを送信
- 不正なパラメータがデータベース検索文に組み込まれる
- データベースから脆弱性を利用して機密情報を抽出
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- プラグインを対策バージョン(1.8.8.5以降)に速やかに更新してください
- 被害確認
- WordPress管理画面で、見覚えのない管理者権限のユーザーが追加されていないか確認
- サーバーのアクセスログに不審なアクセスがないか確認
- 追加のセキュリティ対策
- 管理者パスワードの変更
不正アクセスが疑われる場合は、管理者アカウントのパスワードを変更してください - アカウントの点検
不審なユーザーアカウントがある場合は、アカウントの削除を検討してください - 定期的なプラグイン更新
セキュリティ更新を見逃さないよう、定期的にプラグインの更新状況を確認してください
- 管理者パスワードの変更
⇒不審なアクセスや被害の形跡が見られる場合は、WordPressの専門家やセキュリティ事業者への相談をお勧めします。
影響を受けるバージョン
Charitable 1.8.8.4 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-11893 
(公開日 2025年10月25日 更新日 2025年10月25日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-11893 悪用確率 0.03% (上位93%) 2025年10月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Charitable プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
