WordPressでWooCommerceの請求書や納品書を印刷するプラグイン「Print Invoice & Delivery Notes for WooCommerce」のバージョン 5.8.0 までの全てのバージョンで、極めて深刻なセキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない第三者が、インターネット経由でサイトのサーバー上で不正なプログラムを実行できる状態でした。顧客情報の窃取、サイトの改ざん、永続的な不正アクセスの足がかりとなる恐れがあります。対策バージョン 5.9.0 以降への緊急更新を強く推奨します。
想定される被害
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 顧客情報の窃取
- WooCommerceの注文情報が盗まれる
- 顧客の氏名、住所、電話番号、メールアドレス、注文履歴などが漏洩する
- データベースの認証情報が窃取され、サイトデータ全体にアクセスされる恐れがある
- サイトの改ざん
- サイトのページ内容が書き換えられる
- 不正なリンクやスパムコンテンツが埋め込まれる
- 検索エンジンからペナルティを受ける場合がある
- 永続的な不正アクセスの確立
- 不正なプログラムがサーバー上に設置され、脆弱性修正後も攻撃が継続する
- 管理者アカウントが勝手に追加され、サイトを乗っ取られる
- バックドア(不正な裏口)が設置され、継続的に監視・攻撃される
- 被害発生の条件
- 攻撃者はログイン不要
- インターネット経由で攻撃可能
- サイト管理者の操作は不要
技術的な詳細
この脆弱性は、以下の問題が重なって発生しました。
- 権限チェックとリクエスト検証の欠如
- プラグインの設定を更新する処理で、ユーザーがログインしているか、管理者権限を持っているかの確認がされていなかった
- 操作が正しいユーザーによるものか確認する「nonce(ノンス)」という安全確認用のコードも実装されていなかった
- そのため、外部から送信された不正なリクエストでも、誰でも設定を変更できる状態だった
- 入力値の検証とエスケープの不足
- プラグイン設定画面で入力された色やフォントサイズなどの値が、安全性の確認なしにデータベースに保存されていた
- 請求書や納品書のPDFテンプレートで、保存された設定値を表示する際に、危険な文字列を無害化する処理(エスケープ処理)が実装されていなかった
- 攻撃者が不正な値を設定すると、それがそのままPDF生成処理に渡されてしまう
- PDF生成ライブラリの危険な設定
- PDF生成に使用しているDompdfというライブラリで、プログラムコードの実行機能が有効になっていた
- 本来は無効にすべき機能が有効になっていたため、不正な設定値がプログラムとして実行されてしまう
これらの問題が組み合わさることで、攻撃者は認証なしで不正な設定値をサーバーに保存できる状態でした。そして、PDF生成時にその不正な値が実行され、サーバー上で任意の操作を実行されてしまいます。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先・緊急)
- 速やかに、プラグインを対策バージョン(5.9.0以降)に更新してください
- この脆弱性は認証不要で攻撃可能なため、速やかな更新を推奨します
- 被害確認
- WordPress管理画面の「ユーザー」メニューから、見覚えのない管理者アカウントがないか確認
- 予期しないユーザーアカウントが見つかった場合、該当アカウントを削除
- FTPまたはファイルマネージャーで、
wp-content/uploads/配下に不審なPHPファイル(.php拡張子)がないか確認 - サイトのページ内容に不審な変更がないか確認
- WooCommerceの注文データに不審なアクセスや変更がないか確認
- ログの確認(可能な場合)
- サーバーのアクセスログを確認できる環境の場合、不審なPOSTリクエスト(特に設定更新関連)がないか確認
- 見慣れないIPアドレスからの大量アクセスがないか確認
- セキュリティスキャン
- WordPressセキュリティプラグイン(Wordfence、Sucuriなど)でサイト全体をスキャン
- バックドア(不正な裏口)や改ざんされたファイルがないか確認
- データベースのパスワード変更(被害の疑いがある場合)
- データベース認証情報が漏洩した可能性がある場合、データベースのパスワードを変更
wp-config.php内の認証情報も更新
⇒不審なアカウントやファイルが見つかった場合、または被害の疑いがある場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
Print Invoice & Delivery Notes for WooCommerce 5.8.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-13773 
(公開日 2025年12月24日 更新日 2025年12月24日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13773 悪用確率 0.53% (上位33%) 2026年1月4日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Print Invoice & Delivery Notes for WooCommerce プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
