WordPressプラグイン「PostX」に認証不要で機密情報が取得される脆弱性

WordPressで投稿グリッドを表示するプラグイン「Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX」のバージョン 5.0.3 までの全てのバージョンで、セキュリティ脆弱性が発見されました。

この脆弱性により、ログインしていない攻撃者が本来アクセスできない情報を不正に取得できる可能性があります。対策バージョン 5.0.4 以降への更新を強く推奨します。

想定される事象

想定される被害

この脆弱性により、以下のような被害が想定されます。

非公開投稿情報の漏洩
- プライベート投稿、下書き、承認待ち、パスワード保護投稿の内容を閲覧できる
- 公開前の製品情報、キャンペーン情報、内部資料などが流出する可能性
ユーザー情報の漏洩
- ユーザーの詳細情報(メタデータ)を取得できる
- パスワードのハッシュ値(暗号化された形式)が漏洩する可能性
- 漏洩したハッシュ値を解析されることで、アカウントへの不正ログインが試みられる可能性
被害発生の条件
- 攻撃者がログインする必要はなく、誰でも攻撃可能
- プラグインの特定の機能に対して不正なリクエストを送信するだけで情報を取得できる

技術的な詳細

この脆弱性は、以下の問題に起因します。

権限チェックの欠如
- プラグインが提供する特定の機能(動的コンテンツ取得機能)で、利用者の権限を確認する処理が実装されていなかった
- 本来は適切な権限を持つユーザーのみがアクセスできる情報だったが、この確認が行われていなかった
投稿状態の検証不足
- プライベート投稿、下書き、承認待ち、パスワード保護投稿に対して、それぞれ必要な権限確認やパスワード入力の確認が実装されていなかった
ユーザー情報へのアクセス制御不足
- 本来保護されるべきユーザーの詳細情報に対して、アクセス制限が適切に実装されていなかった
- 特にパスワードのハッシュ値(暗号化されたパスワード情報)が取得可能な状態だった

※パスワードハッシュとは:パスワードを暗号化して保存したもの。この情報が漏洩すると、攻撃者が時間をかけて解析することで元のパスワードを推測できる可能性があります。

脆弱性の種類

CWE-862 認可の欠如

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

プラグインの更新(最優先)
- 緊急で、プラグインを対策バージョン(5.0.4以降)に更新してください
被害確認
- 不審なログイン履歴がないか確認(セキュリティプラグインのログ等)
- プライベート設定や下書き状態の投稿に機密情報が含まれていた場合、その情報が悪用されていないか確認
- WordPress管理画面の「ユーザー」メニューから、全てのユーザーアカウントを確認し、身に覚えのない管理者アカウントがないかチェック
パスワードの変更(推奨)
- 特に管理者アカウントのパスワードを変更
- すべてのユーザーに対して、パスワード変更を案内することを検討
- 他のサイトで同じパスワードを使用している場合、そちらも変更を検討
追加のセキュリティ対策
- 二段階認証の導入を検討
- ログイン試行回数を制限するセキュリティプラグインの導入を検討

⇒不審なアカウントやログイン履歴が見られる場合、またはパスワード情報の漏洩が疑われる場合は、WordPressの専門家などへの相談をお勧めします。

影響を受けるバージョン

Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX 5.0.3 までのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-12980
（公開日 2025年12月21日更新日 2025年12月22日）

脆弱性の深刻度 (CVSS v3)

基本値: 7.5 (高) 　[Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-12980 悪用確率 0.10% （上位71%） 2026年1月4日時点

(今後30日以内に悪用される確率 )

参考　

Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX <= 5.0.3 – Missing Authorization to Unauthenticated Sensitive Information Exposure

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字と技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

PostX プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン PostX 情報（2026年1月5日取得）

最新版バージョン	5.0.5
対象 WordPress バージョン	5.0 またはそれ以降検証済み最新バージョン : 6.9
有効インストール数	40,000+
関連ページ	プラグインページ